はじめに

urlscan.ioは、ウェブサイトのセキュリティ脅威、悪意のあるコンテンツ、不審な動作を分析・調査するための強力な無料サービスです。ご自身のコンピュータをリスクにさらすことなく、安全にあらゆるURLを検証できるサンドボックス環境とお考えください。セキュリティ研究者、IT専門家、または慎重なインターネットユーザーのいずれであっても、urlscan.ioはウェブサイトが読み込まれる際に何が起こるかについて包括的な洞察を提供します。

urlscan.ioとは

urlscan.ioは、ユーザーに代わってURLにアクセスし、サイトの動作に関する詳細な情報を収集するウェブサイトスキャナーです。収集される情報には以下が含まれます:

• ページの表示スクリーンショット
• HTTPリクエスト(通信履歴)と、保存対象のHTTPレスポンス(主にHTML/JavaScript/Textなど)
• ドメインとIP情報
• ウェブサイトで使用されている技術
• 証明書とセキュリティインジケーター
• リダイレクトとページの動作
• 潜在的な悪意インジケーター

このサービスはJohannes Gilger氏によって作成され、urlscan GmbHによって運営されています。サイバーセキュリティコミュニティにおいて、脅威インテリジェンスと調査のための必須ツールとなっています。

使い始める

urlscan.ioへのアクセス

ウェブブラウザでurlscan.ioにアクセスするだけです。アカウントを作成しなくてもすぐにサービスを利用できますが、登録することで追加機能が利用可能になります。

アカウントの作成(任意ですが推奨)

匿名で公開スキャンを送信することもできますが、無料アカウントを作成すると以下のような利点があります:

登録の利点:

• 他のユーザーに表示されないプライベートスキャンの送信
• 自動スキャンのためのAPI機能へのアクセス
• スキャン履歴の閲覧
• (urlscan Pro等で)アラートとモニタリングの設定
• スキャン制限の増加

登録するには、右上の「Sign Up」ボタンをクリックし、メールアドレスを使用して登録プロセスに従ってください。

基本的なスキャンの実行

URLの送信

ホームページには目立つ検索バーがあります。最初のスキャンを実行する手順は以下の通りです:

1. URLを入力: スキャンしたい完全なURLを検索バーに入力または貼り付けます。プロトコル(http://またはhttps://)を含めてください。
2. 公開設定を選択: 送信前に、スキャンの公開設定を選択できます:
   • Public: すべてのurlscan.ioユーザーに表示され、検索可能
   • Unlisted: 公開検索には表示されませんが、共有URL(結果URL)でアクセス可能
   • Private: 公開面には表示されず基本は自分用(ログイン推奨)。共有URL(結果ID)を知っている人は閲覧可能
3. 送信: 「Scan」ボタンをクリックするか、Enterキーを押します。

スキャン時間について

送信後、urlscan.ioは以下を実行します:

• 実際のブラウザ(Chromium)を使用してURLにアクセス
• ページが完全に読み込まれるまで待機
• すべてのネットワークアクティビティをキャプチャ
• スクリーンショットを取得
• コンテンツを分析

このプロセスは通常数十秒以上かかりますが、複雑なウェブサイトの場合はさらに時間がかかることがあります。

スキャン結果の読み方

スキャンが完了すると、いくつかのセクションに分かれた包括的な結果ページが表示されます。

概要セクション

結果ページの上部には以下が表示されます:

総合評価: サイトが安全、疑わしい、または悪意があるかどうかを示す簡単な評価です。これはさまざまなインジケーターと脅威インテリジェンスフィードに基づいています。

スキャン情報:

• 送信タイムスタンプ
• 最終URL(リダイレクトが発生した場合)
• IPアドレスと地理的位置
• サーバー情報
• ページタイトルとメタディスクリプション

スクリーンショット: スキャン時にページがどのように表示されたかの視覚的表現です。クリックしてフルサイズで表示したり、異なるスクロール位置のスクリーンショットを確認できます。

HTTPトランザクションセクション

このセクションには、ページ読み込み中に行われたすべてのHTTPリクエストが表示されます:

リクエストの詳細:

• リクエストされた各リソースのURL
• レスポンスコード(200、404、301など)
• ファイルタイプ(HTML、CSS、JavaScript、画像)
• 各レスポンスのサイズ
• タイミング情報

重要性: 悪意のあるサイトは、疑わしいドメインからリソースを読み込んだり、予期しない外部接続を行ったりすることがよくあります。これらのトランザクションを確認することで、潜在的に危険な動作を特定できます。

リンクセクション

ページ上で見つかったすべてのハイパーリンクが以下のように分類されて表示されます:

• 内部リンク(同じドメインを指すもの)
• 外部リンク(他のドメインを指すもの)
• メールアドレス
• 電話番号

これにより、ページが他のどのサイトに接続しているか、既知の悪意のあるドメインにリンクしているかどうかを理解できます。

ドメインとIPセクション

ページ読み込み中に接続されたすべてのドメインが以下の情報とともに一覧表示されます:

• 関連するIPアドレス
• サーバーの地理的位置
• ASN(自律システム番号)情報
• 逆引きDNS情報

セキュリティインサイト: 一見正規のサイトが予期しない国のサーバーや既知の悪意のあるネットワークに接続している場合、侵害されている可能性があります。

技術セクション

urlscan.ioは、ウェブサイトで使用されている技術、フレームワーク、サービスを識別します:

• コンテンツ管理システム(WordPress、Drupalなど)
• 分析プラットフォーム(Google Analyticsなど)
• JavaScriptライブラリ(jQuery、Reactなど)
• サーバーソフトウェア
• CDNプロバイダー

脆弱性評価: これらの技術の古いバージョンには、既知のセキュリティ脆弱性が含まれている可能性があります。

証明書セクション

HTTPSサイトの場合、以下が表示されます:

• SSL/TLS証明書の詳細
• 発行認証局
• 有効期間
• 証明書チェーン
• 潜在的な証明書の問題

セキュリティインジケーター: 有効で適切に設定された証明書は正規サイトの兆候であり、証明書エラーはフィッシングや中間者攻撃を示す可能性があります。

インジケーターセクション

この重要なセクションでは、潜在的なセキュリティ上の懸念が強調表示されます:

悪意のあるインジケーター:

• 既知の悪性インフラ(ドメイン/IP など)
• フィッシングインジケーター
• ブランドなりすまし試行
• 疑わしいJavaScriptの動作

脅威フィードからの評価: urlscan.ioは複数の脅威インテリジェンスソースに対してチェックし、一致するものがあれば表示します。

高度な機能

APIの使用

スキャンを自動化したり、urlscan.ioをワークフローに統合する必要があるユーザーのために、APIがプログラムによるアクセスを提供します。

APIキーの取得:

1. アカウントにログイン
2. Settings & APIに移動
3. APIキーをコピー

基本的なAPIの使用方法: 標準的なHTTPリクエストを使用してスキャンを送信し、結果を取得できます。APIはURLの送信、スキャン結果の取得、過去のスキャンの検索をサポートしています。

一般的なユースケース:

• 自動セキュリティモニタリング
• URLの一括スキャン
• SIEMシステムとの統合
• 脅威インテリジェンスの収集
• インシデント対応ワークフロー

検索機能

urlscan.ioには、過去のスキャンを検索するための強力な検索エンジンが含まれています:

検索対象:

• ドメイン名
• IPアドレス
• ASN
• 国コード
• 技術
• ハッシュ値
• ページコンテンツ
• SSL証明書属性

検索演算子: 検索はクエリを絞り込むためのさまざまな演算子をサポートしています:

• domain: - スキャン中に接続したドメインを検索
• page.domain: - スキャン対象ページのプライマリドメインを検索
• ip: - IPアドレスで検索
• country: - 国コードでフィルタリング
• asn: - ASNで検索
• hash: - コンテンツハッシュで検索

検索例:

• domain:example.com - example.comのすべてのスキャンを検索
• page.domain:paypal.com AND NOT ip:66.211.* - 潜在的なPayPalフィッシングサイトを検索
• country:CN AND domain:microsoft.com - 中国からのMicrosoftを模倣したサイトを検索

ライブスキャン機能(主に urlscan Pro の Live Browsing / Live Scanning)

※対話型のライブブラウジングはプランにより提供されます(常に無料で使える機能ではありません)。

ライブスキャンを使用すると、urlscan.ioのインフラストラクチャを通じてウェブサイトとリアルタイムで対話できます:

仕組み:

1. スキャン用のURLを送信
2. 結果ページから「View Live Scan」をクリック
3. urlscan.ioのブラウザを通じてサイトを操作する
4. すべてのアクティビティがキャプチャされ分析される

利点:

• 疑わしいサイトを安全に調査
• データを公開せずにフォーム送信をテスト
• 動的コンテンツの動作を観察
• 調査のための追加証拠を収集

セキュリティに関する注意: これは分離環境を提供しますが、潜在的に悪意のあるサイトと対話する際は常に注意を払ってください。

スキャンの比較

複数のスキャンを比較して、時間の経過に伴う変化を特定できます:

ユースケース:

• ウェブサイトの侵害を検出
• 新しい悪意のあるコンテンツを監視
• サイトの動作の変化を追跡
• サイトが武器化された時期を特定

比較方法:

• 履歴または検索で比較したいスキャンを見つける
• HTTPトランザクション、接続されたドメイン、コンテンツの違いに注目

セキュリティインジケーターの解釈

※urlscan.ioが公式に定める単純な「緑/黄/赤」判定ではありません。ここでは一般的な目安として記載します。

緑/安全なインジケーター

以下の特徴を示すサイトは一般的に信頼できます:

• 信頼された認証局から発行された有効なSSL証明書
• 既知の悪意のあるドメインへの接続がない
• 一貫したブランディングとコンテンツ
• 組織の予想されるIP範囲と一致
• 標準的で最新の技術を使用
• 疑わしいJavaScriptや難読化がない

黄/疑わしいインジケーター

以下を示すサイトには注意が必要です:

• 自己署名証明書
• 複数のドメインを経由するリダイレクト
• 名乗っている組織にとって不自然なサーバーの所在地
• 古いまたは脆弱なソフトウェアバージョン
• 過度なサードパーティ接続
• 有名なドメイン名のわずかな変形

赤/悪意のあるインジケーター

以下を表示するサイトは避けてください:

• マルウェア/フィッシングデータベースとの一致
• 既知のコマンド&コントロールサーバーのIP
• 証明書エラーまたは不一致
• 高度なコード難読化
• 誤った IP アドレスを使用した信頼ブランドのなりすまし
• 既存組織になりすました最近登録されたドメイン
• 認証情報を求める疑わしいフォームリクエスト

実用的なユースケース

フィッシング調査

疑わしいメールにリンクが含まれている場合:

1. 直接クリックしない - URLをコピー
2. urlscan.ioに送信 - 結果を第三者に公開しないためにPrivate/Unlistedを検討
3. スクリーンショットを確認 – 名乗っている正規サイトと一致するか?
4. ドメインを検証 - 本物のドメインか、類似のものか?
5. IPの場所を確認 - サーバーの場所は妥当か?
6. 証明書を確認 - SSL証明書は組織と一致するか?
7. インジケーターを確認 - 悪意のある一致はあるか?

マルウェア分析

マルウェア配布サイトが疑われる場合:

1. スキャンを送信 - 直接訪問しない
2. ダウンロードを確認 - サイトが配信しようとするファイルを確認
3. ドメインを分析 - 攻撃者が使用するインフラストラクチャを特定
4. 技術を確認 - エクスプロイトキットのシグネチャを探す
5. インジケーターを記録 - ブロックのためにIP、ドメイン、ハッシュを収集

脅威インテリジェンス収集

セキュリティチームはurlscan.ioを以下のように使用します:

• ブランド悪用の監視 - 組織になりすましたサイトを検索
• キャンペーンの追跡 - 複数のドメインにわたる攻撃者のインフラストラクチャを追跡
• インテリジェンスの共有 - セキュリティレポートでurlscan.ioの結果を参照
• 履歴分析 - 脅威が時間とともにどのように進化したかを研究
• インジケーターの強化 - 脅威インジケーターにコンテキストを追加

ウェブサイト監視

自身のサイトの侵害を監視:

• 定期的なスキャン - インフラストラクチャの定期的なスキャンをスケジュール
• ベースラインの確立 - 通常の動作を理解
• 異常検出 - 予期しない変化を特定
• サードパーティの監視 - サイトが読み込む外部リソースを追跡
• コンプライアンス検証 - セキュリティコントロールが維持されていることを確認

ベストプラクティス

プライベートスキャンを使用するタイミング

以下の場合にプライベートスキャンを使用してください:

• 進行中の脅威を調査する場合(結果を第三者に公開しないため)
• 機密または秘密のURLを分析する場合
• 自身のインフラストラクチャをテストする場合
• セキュリティ研究を行う場合
• インシデントに対応する場合

誤検知の回避

セキュリティインジケーターが常に決定的なものではないことを覚えておいてください:

• 新しいサイトや小規模なウェブサイトは、正規であってもアラートが発生する可能性があります
• 一部のセキュリティツールは疑わしく見える技術を使用します
• CDNやホスティングプロバイダーは予期しないIPを示す可能性があります
• 常にコンテキストと複数のインジケーターを総合的に考慮してください

プライバシーと倫理の尊重

urlscan.ioを責任を持って使用してください:

• 許可なしにプライベートサイトをスキャンしない
• robots.txtとサイトポリシーを尊重
• アクセス制御を回避するために使用しない
• お住まいの地域での法的影響を考慮
• 機密性の高い調査にはプライベートスキャンを使用

他のツールとの併用

urlscan.ioは以下と併用することで最も効果的です:

• マルウェア分析のためのVirusTotal
• インフラストラクチャ研究のためのShodan
• ドメイン情報のためのWHOISデータベース
• 証明書透明性ログ
• DNS分析ツール
• 脅威インテリジェンスプラットフォーム

制限事項と考慮事項

urlscan.ioができないこと

ダウンロードしたファイル自体の悪性判定(例:EXEがマルウェアか)を行うツールではありません。

JavaScript要件: スキャナーは実際のブラウザを使用しますが、一部のサイトはurlscan.ioとローカルブラウザで異なる動作をする可能性があります。

認証: 認証情報を公開せずにログイン認証が必要なサイトをスキャンすることはできません。

地理的制限: スキャナーのIP範囲をブロックするサイトは正しく読み込まれません。

動的コンテンツ: 高度にパーソナライズされたコンテンツや時間に依存するコンテンツは、後続のスキャンで異なって表示される可能性があります。

レート制限: 無料アカウントには悪用を防ぐためのスキャン制限があります。

プライバシーに関する考慮事項

公開スキャンは公開されます: 公開スキャンは誰でも閲覧でき、検索可能であることを覚えておいてください。以下を含むURLは決して送信しないでください:

• 認証トークンまたはセッションID
• パラメータ内の個人情報
• 機密情報または独自の識別子

スキャナーの識別: ウェブサイトはurlscan.ioによってスキャンされていることを検出でき、異なる動作をトリガーする可能性があります。

結論

urlscan.ioは、疑わしいリンクをチェックする個人ユーザーから、高度な脅威を調査するセキュリティチームまで、ウェブセキュリティに関心のあるすべての人にとって非常に貴重なツールです。スキャンの送信方法、結果の解釈方法、高度な機能の使用方法を理解することで、ウェブベースの脅威を識別し対応する能力を大幅に向上させることができます。

効果的に使用するための鍵は、単一のインジケーターが悪意を決定的に証明するわけではないことを理解することです。代わりに、不審なパターン、特徴の組み合わせ、複数のデータポイントからの裏付けを探してください。セキュリティインシデントを調査する際は、常に調査結果を記録し、適切なチャネルを通じてセキュリティコミュニティとインテリジェンスを共有してください。

フィッシングから自身を守る場合でも、マルウェアインフラストラクチャを調査する場合でも、組織のデジタルプレゼンスを監視する場合でも、urlscan.ioは今日の複雑なセキュリティ環境においてウェブベースの脅威に先んじるために必要な可視性と分析機能を提供します。