SOCやCSIRTにおける仕事を進めていく上で、ドメイン調査の困難さに直面したことは少なくないはずです。
 
クラウドセキュリティサービスやウェブフィルタリングなどのセキュリティツールを導入することで、悪意のあるドメインへのアクセスは阻止されるものの、そのプロセスの背後にある理由を解明する作業は依然として複雑なものがあります。
 
この課題を軽減するための有効なツールとして「Infoblox Dossier（以降、Dossier）」があります。本記事では「Dossier」（ドシエと読みます）について深掘りしてご紹介していきます。

Dossier とは何か

Dossierは、サイバーセキュリティの脅威調査に欠かせないツールとして、URL、IPアドレス、ドメイン名、さらにはファイルのハッシュ値の分析を可能にします。
 
このツールを利用することで、該当ドメインの危険度や過去の履歴（ドメインが新規に作られて最初2年間は主な活動はなく、その後C2サーバーの役割で利用など）、特定のサイバー脅威が現在活動しているのか、それとも過去に活動していたが現在は停止しているのかなど、様々な分析が行えます。
 
ファイルに関しては、そのセキュリティリスクを評価するためにアンチウイルスのスキャン結果を提供します。さらに、DossierはドメインとIPアドレスの関係の履歴表示、関係するレポートやブログへのリンク提供、WHOISデータや地理的な位置情報の提供という機能で、より深い分析を支援します。
 
重要な情報へのアクセスはすべてリンクを介して簡単に行うことができ、ユーザーはクリック一つでドリルダウンしていき、さらなる情報収集を進めることができます。
 

Dossier の提供方法 

Dossier は、BloxOne Threat Defense Advancedの一つの機能として提供されている調査ツールです。
ただ、単独利用でのニーズも大きく、脅威調査ツールとして単体での利用要望も多いことからDossier単独でのご提供もしています。
 
もちろん、BloxOne Threat Defenseとはネイティブに統合されているため、同時に利用することで、いつでも脅威をブロックリストに即座に追加できるため、BloxOne Threat Defense Advancedでのご利用をオススメしています。
 
 

ユースケース

この章では実際、導入したお客様がどのように利用しているのかをユースケースとして見ていきたいと思います。
 

ユースケース1：銀行内で広まったスパムメールへの対応

銀行のセキュリティチームは、社内で広まったスパムメール由来の怪しいURLに注目しました。そのURLに関する詳細情報を追求するため、Dossierシステムに入力し、さらなる背景情報を探りました。

この調査で、該当URLが悪意のあるサイトであり、バンキングトロイの木馬と関連があることが判明しました。この高リスクな脅威に対応するために、ドメインをブロックリストに加えることがDossierから提案されます。

この対策を実施することで、BloxOne Threat Defenseシステムが組織内の全デバイスとユーザーを、この危険なドメインから即座に保護することができました。

ユースケース2：医療機関においてCISAから警告された脅威の侵入を明らかにする

アメリカ合衆国サイバーセキュリティ・インフラストラクチャ·セキュリティ庁（CISA）が医療機関を狙った特定ハッカーグループの警告を出したことが話題になっていました。

この通知には、病院が被害を受ける可能性がある様々な警告信号が示されました。重要なのは、これらの警報がどの程度、該当の医療施設に実際のリスクをもたらしているかを迅速に特定することでした。

情報源を検証し、既知の脅威情報源で既に識別および排除されたインジケータを見つけ出すことができれば、状況をより速やかに把握することが可能になります。

Dossierにより、特定されたIPアドレスやその他のシグナルが、実際には組織内で検出されていないことが即座に分かり、その時点で医療施設がこの特定の脅威からは安全であるという結論に至りました。
 
 

ユースケース3：ドメイン登録とドメインホスティングを迅速に区別してリスクを評価する

SOCチームのメンバーが、某中小企業 Web サイトと明らかなマルウェアが通信していることに気づきました。但し、この Web サイトの URL は、どの脅威フィードでも識別されていませんでした。

そこで、Dossierを利用し、位置データのコンテキスト情報からこの中小企業 Web サイトのドメインは、ある国で登録されているものの、別の国でホストされていることがわかりました。

この位置データは、潜在的に危険な脅威の正当性を裏付けるものと思われるため、すぐにそのドメインを監視リストに追加し、即座にマルウェア通信を止めることに成功しました。
 
 

ユースケース4：MITRE ATT&CKフレームワークを使用して対応活動を迅速に調整

実際の侵害に対応して、または脅威ハンティング演習をサポートするために、Dossier は、敵対者の手法を分類および研究し、その意図を理解するための強力な方法であるMITRE ATT&CK フレームワークから利用可能なガイダンスを提供することもできます。

このガイダンスは、封じ込めやその他のインシデント対応活動の迅速化と最適化に役立ちます。

検索対象のドメインやURL、IPアドレスに関連する MITRE ATT&CK ツールのみが表示されるため、MITRE ATT&CK を使用して脅威ハンティングと検出の取り組みを強化、分析、テストできます。 

ユースケース5：企業のブランド価値を棄損させる類似ドメインの追跡・調査

自組織で保有しているドメインに似せたドメインを用いて利用者をフィッシングサイトへ誘導する手法が増えております。正規のドメインに成りすまし、マルウェアに感染させることで、組織の信頼を棄損するケースがあります。

BloxOne Threat Defense AdvancedとDossierを利用することで、あらかじめ自社のドメイン情報を登録後は、日々変化する情報の中で類似するドメイン情報が無いか、自動調査する機能があります。

そして、検知された類似ドメインのリンクをクリックするだけで、Dossierにて対象ドメインの評価情報、Whoisなどのドメイン情報を簡単に調査することが可能です。
 
 

参考：基礎から分かる「類似ドメイン(LOOKALIKE DOMAIN)」とは↓↓↓

まとめ

このように、Dossierは特にBloxOne Threat Defenseによってブロックされたドメインの調査や、不審なURLを含むメールの確認要求に対して、迅速かつ詳細な情報提供を可能にする、非常に強力な調査ツールです。

SOCやCSIRTの方々は、これらの情報を活用して、サイバーレジリエンス強化に役立てています。

DNSセキュリティワークショップ開催！

弊社では、Dossierの利用も含め、DNSを悪用した攻撃手法とその防御に関するワークショップを開催しております。

DNS専業ベンダーであるInfobloxの技術者が直接お客様と一緒に体系的に学習することが可能です。

DEXツールを試してみたい方や、ワークショップに参加したい方は、弊社担当営業までお知らせください。

Infoblox DDI Week Online開催決定！

「基礎からわかるDNS、DHCP、IPAMな4日間」と題して、入門的な内容から弊社ソリューションの特徴や優位性、ユースケースまで分かりやすくご案内します。

さらに、実際にBINDやWindowsサーバーからの移行方法やベストプラクティス、Day 2 オペレーション、既に導入済みのシステム（SIEM、SOAR、Firewall、Endpointなど）との連携による自動化やセキュリティ強化などのテクニカルな情報も解説します。

ご興味ある方は、登録をお願いします！

■開催概要
名称：Infoblox DDI Week Online -
　　　基礎からわかるDNS、DHCP、IPAMな4日間 -
主催：Infoblox株式会社
共催：東京エレクトロン デバイス株式会社
日時：2024年5月21日（火） - 24日（金） 15:00 - 16:15
場所：オンライン（On24）
今なら早期申込キャンペーン開催中！4月19日まで！！

お申し込みはこちらまで↓↓↓