サイバー攻撃の『送信元IPアドレス』がわかったらする10のこと

インシデントレスポンス、とくにトリアージのフェーズにおいて、IPアドレスの付随情報を調べることは重要で、かつ頻度もたいへん多いです。再びするときに困らないように、やるべきリストを考察します。

aguseのようなWebサービスなら、複数の調査が一括でできるのでよくつかいます。ただし、Webサービスを使うということは、検索した履歴がWebサービス側に残ってしまうので注意してください。

1. もう一度、そのアドレスが間違っていないかどうか確認する

IPアドレスを間違える行為は"あるある"です。
IPアドレスの暗記は厳禁です。誤ったときに手戻りが発生しますし、社内外に伝達した後だととり返しがつきません。IPアドレスについて調べるときは、それが正しいものか必ず複数回確認してください。もしくはなるべく情報源をそのまま"コピー・アンド・ペースト"するべきです。

2. Whois検索

国
AS
管理者の組織や連絡先

などが分かります。
サービスの利用者がいないと想定される国や地域であれば、ファイアウォールで通信を遮断する判断根拠となります。また、管理者の組織情報から、実は関連会社からの社内アクセスだったことが分かるケースもあります。

3. DNS逆引き

ドメインが分かれば送信元の企業や組織が特定できることがあります。また例えばOCNなどのISPのアドレスブロックであれば、県レベルで推定することができます。

4. Google検索

検索エンジンでの調査は、技術力がある人ほど忘れがちです。しかし王道中の王道です。過去に同様のアクセスを受けた事例があるかどうかをしらべます。
例えばIDSやIPSがトラヒックから攻撃を検知した場合でも、攻撃ではなくセキュリティベンダによる脆弱性スキャンだったというケースがあります。こういった場合は、幹部クラスへのエスカレーションは不要としてよいでしょう。この例のように、検索結果次第ではインシデントを鎮火することができます。

以上の4つは必須です。急いでいても最優先で調査をするべきです。

5. Black list検索

Spamhausなどが有名です。SBLは信頼でき、かつ更新がとても早いです。ただしSpamhaus DBLのような信頼度の低いリストもあるため、すべてのブラックリストを無条件で信頼するべきではありません。

6. GeoIP

MaxMind社のサービスが有名です。より詳細な所在の情報がわかります。

7. ping（疎通確認、応答時間）、traceroute

tracerouteによりどのようなISPを経由してアクセスが来たのかを推定できます。
pingやtracerouteはインシデントハンドリングにおいて必須ではありません。グリーンタグをつけるために、最後の判断材料として念のためするぐらいの扱いです。ICMPのecho replyを拒否する設定をしている場合もありますので、あまり信用できません。また、パケットが攻撃者に到達してしまうと、それを探知されるリスクがあります。

8. 情報源のプロトコル、レイヤ、ヘッダフィールドを確認する

IPアドレスは、OSIの7階層モデルにおけるネットワーク層で定義されています。しかしながら、例えばHTTPやSIPのように、ネットワーク層よりも上位層において利用されることもしばしばです（layering violationを参照）。IPアドレスを入手したときに、それがどのプロトコル、もしくはどのレイヤから得られたのかを確認することで、思わぬ落とし穴が目の前にあったとしても、それを回避できるかもしれません。
またプロキシやNATを経由する場合は、IPヘッダ上のIPアドレスが置換されてしまいます。x-forwarded-forヘッダフィールドなどの情報源となるヘッダフィールドの存在を知っておくとよいでしょう。

9. 名前ベースバーチャルホスト

1台のサーバで複数のドメインを運用することで、サーバの台数を減らしたり、貴重なIPv4アドレスを節約したりすることを名前ベースバーチャルホストと言います。また似たような事例として、CDN（Content Delivery Network）やクラウド型WAFなどのサービスでは、複数のサービスが同じIPアドレスを共有したり、アドレスが変わったりということが日常的に発生します。
サイバー攻撃の送信元IPアドレスがサーバであることはめったにありませんが、サーバが乗っ取られている可能性などを一応は考慮にいれるべきです。またダークネットの観測情報などを見る機会では、必須の知識となります。「Reverse IP Lookup」で検索してサービスを利用すると、同じIPアドレスを利用しているドメインを検索できます。日本語サイトが良ければこちらです。