DomainToolsとは?
Domain Search チュートリアル
DomainTools Whois チュートリアル
DomainTools PhyshEye
DomainTools ドメインリスクスコア
MaltegoでDomainToolsのデータを可視化
製品概要とバリュー・プロポジション
製品概要とバリュー・プロポジション
DomainToolsは、ドメインおよびDNSベースの脅威インテリジェンスを提供するリーディング企業であり、サイバーセキュリティチームに「より早い脅威の把握」「より深い調査」「より迅速な対応」を可能にする、有償ソフトウェア製品スイートを展開しています。ITセキュリティの専門家や企業の情報システム担当者、意思決定層を対象に、悪意のあるドメインやオンラインインフラのインテリジェンスを提供する設計となっています。
同社が保有するドメイン関連の膨大なデータベースは、約3億9千万超のアクティブドメインを追跡し、全TLDのおよそ97%をカバーしており、高い網羅性を誇ります。この広範なデータは、脅威を非常に早い段階で検出・評価・対処するうえで大きな助けとなります。独立系テストや大企業ユーザーからの報告によれば、DomainToolsを導入することで、新規に発見される悪意あるドメインや怪しいドメインの特定が格段に早まり、脅威調査の効率を向上させられるとのことです。これにより、セキュリティ担当者の工数削減や深刻なインシデントを回避する効果が期待できます。
同社発表の2024年版インテリジェンスレポートによると、世界中で観測された1.06億件の新規ドメインデータをベースに、ドメイン属性分析、リスクスコアリング、DGA(ドメイン生成アルゴリズム)検知、IDNホモグリフ分析など計7種類の高度な解析手法を駆使。さらに、395,000件超の既知脅威ドメインとの自動比較により、APTグループやボットネット、フィッシングキャンペーンなど攻撃インフラの異常値をリアルタイムに可視化します。新リスクカテゴリ「equal」によって、これまで見落とされがちだった境界線上のドメインも高精度に評価可能となり、マルウェア配信からブランド毀損、サプライチェーン攻撃まで多岐にわたる脅威に対する事前対策と迅速なインシデント対応を強力に支援します。
DomainToolsの強みとは?
DomainToolsプラットフォームの価値は、その豊富かつ深いデータ、高度なアナリティクス(例:機械学習によるドメインリスクスコア)、および既存のセキュリティワークフローへのスムーズな統合にあります。個々のデータフィードや単純なLookupツールと異なり、DomainToolsは複数のデータソース(現在・過去のWhois情報、DNSレコード、SSL証明書データ、IPアドレスマッピング、パッシブDNSなど)を関連付け、あらゆるドメインやIPの包括的なプロファイルを構築します。DomainTools独自のリスクスコア(0〜100)は、既知の悪性インフラへの近接度(Proximity)と、ドメイン特性に基づく脅威プロファイル(Threat Profile)に基づいて悪用の可能性を予測します。これにより、新しく登録されたドメインが実際に攻撃に使用される前の段階で、高い確率で「危険」を洗い出すことが可能になります。たとえば、自社ブランドを模倣して登録されたドメインを即座に検出し、素早くブロックするといった対策が可能です。また、複数のドメインやIPを相互に関連付けることで、攻撃者が使用するインフラ全体を把握しやすくなります。つまり、DomainToolsは高速に状況を把握し、より確度の高い意思決定を行うための文脈と先見性を提供します。
主なメリットの概要:
- 脅威の早期検出: インターネット上のドメインを広範にカバーし、新規登録や新しく活性化したインフラを早期に可視化。
- 正確なリスクスコアとコンテキスト分析: リスクスコアによって真に危険なドメインを優先し、関連するホスティングや登録情報を紐づけることで見落としがちな脅威を発見。
- 時間とコストの削減: 従来、複数のツールを横断して収集していたデータを一元化し、APIによる自動化により手動作業を削減。
- 多様な利用シーン: SOC運用、脅威インテリジェンス、インシデント対応、詐欺対策、ブランド保護、リスクマネジメントなど、多方面で活用可能。
- シームレスな統合: SIEM、SOAR、TIPなどの主要プラットフォーム向けにAPIや事前構築済みの連携機能を提供し、既存のパイプラインにスムーズに組み込める。
- 豊富な履歴データ: 20年以上蓄積されたWhois・DNSの履歴により、ドメインやIPの変遷を把握。怪しいオーナーシップの変更やホスティング移動を追跡しやすい。
DomainToolsの主な製品
| 製品名 | 主用途 | 主要機能・メリット |
|---|---|---|
| DomainTools Iris Investigate | ドメインの詳細調査・分析(Web UI / API) | 包括的なピボットインターフェイス、過去Whois&DNSデータ、リスクスコアによる評判評価、脅威アクターのインフラをマッピングできる可視化、チーム間でのコラボレーション機能。 |
| DomainTools Iris Detect | そっくりドメインの発見&監視(ブランド防御など) | 新規登録されたドメインをリアルタイムに監視し、類似やタイプミス系ドメインを検出。リスクスコア付与やスクリーンショット取得、監視リスト管理、ブロックや通報などの対策をサポート。 |
| DomainTools Iris Enrich | SIEM/SOAR向けの脅威データ自動エンリッチ | REST APIを介して大量のドメイン情報(Whois、DNS、SSL、リスクスコアなど)を提供。アラートにドメインコンテキストをリアルタイムで付加し、大規模な自動化や独自ワークフローを実現。 |
| DomainTools Risk Score & Feeds | ドメイン/IPのリスクスコア&高リスク指標フィード | 「Proximity+Threat Profile」アルゴリズムで予測的に悪意度を算出。リスクの高いドメイン/IP一覧を毎日更新したフィードを提供し、攻撃前のドメインを先制的にブロック可能に。 |
| DomainTools Domain Visibility Feeds | 新規登録・新規アクティブドメインなどの情報フィード(脅威インテリジェンス) | パッシブDNSなどを通じて世界中で新たに登録・観測されたドメインやホストネームを継続的に配信。フィッシングやマルウェアキャンペーンにおける“若いドメイン”を早期把握しやすい。 |
DomainTools Iris Investigate
製品紹介
DomainTools Iris Investigateは、ドメインやIPを中心としたインテリジェンスを包括的に調査できるフラッグシップ・プラットフォームです。過去のWhois情報やDNSレコード(パッシブDNS含む)、SSL証明書データ、リスクスコアなどを集約した対話型Webインターフェイス(およびAPI)を提供します。アナリストは怪しいドメインを入力すると、現在・過去のWhois、DNS解決状況、ホスティングIP、関連ドメイン、ドメインリスクスコアなどを一括で確認可能です。さらに、例えば同じ登録者メールやネームサーバーを共有するドメインへピボットし、攻撃者が使うインフラを面として把握できます。
導入メリット
- 効率向上: 複数のソースからデータを手動で収集する手間が不要。
- プロアクティブな脅威ハンティング: 既知の不正ドメインから関連インフラを調べ上げ、攻撃者のさらなる活動を早期に把握。
- リスクスコアによる優先順位付け: 高スコアのドメインを先に精査することで、緊急度の高いアラートを見逃さない。
- インシデント対応の加速: 単一のIOCから複数の関連ドメインを突き止め、被害範囲を早期に把握して封じ込めを迅速化。
ユースケース
- 脅威ハンティング/インフラマッピング: 1つの悪性ドメインを起点に、登録情報やIPを共有する他ドメインを探索し、攻撃者のインフラ全体を洗い出す。
- フィッシング調査: ブランドを装ったドメインの所有者やサイトのスクリーンショットを調べ、関連する悪性IP群に紐づいているかを確認。
- サードパーティリスク評価: ベンダーやパートナーのドメインにスパムや悪性IPとの関連がないかチェック。
- 法執行/フォレンジック: 過去Whoisの共通点などからアクターを特定し、起訴に繋げる証拠を収集。
FAQ
- データソースは? Iris Investigateは、現在/過去のWhois、DNS(ライブ+パッシブ)、SSL証明書、ブラックリスト情報など、数十億件規模のデータを一元的に検索可能です。
- リスクスコアはどのように算出しますか? Proximity(既知の悪性インフラとの近さ)とThreat Profile(ドメイン特性)を組み合わせ、0〜100で算出します。スコアが高いほど悪意の可能性が大きくなります。
- 統合は可能ですか? Web UIに加え、APIが用意されており、SIEM、SOAR、TIP、独自ワークフローなどに接続可能です。SplunkやCortex XSOAR、IBM QRadarなどとの連携実績があります。
- 使いこなせますか? セキュリティ知識のあるアナリスト向け設計ですが、WhoisやDNSの基礎知識があれば短期間で習得可能です。利用ガイドもあります
- 既存のDomainToolsサービスと何が違いますか? Iris Investigateは以前の個別ツールを統合したエンタープライズ版であり、リスクスコアやコラボレーション機能が追加されています。
DomainTools Iris Detect
製品紹介
DomainTools Iris Detectは、ブランドや重要キーワードを狙った“そっくりドメイン”や不正登録ドメインを早期に検出・監視するためのソリューションです。グローバルなドメイン登録・更新状況を継続的にスキャンし、監視リストに登録した文字列に類似するドメインが新規に出現した場合、リアルタイムにアラートを提供します。これは、以前の“PhishEye”機能を内包しつつ、自動監視、リスクスコア、対策機能を拡充した後継版にあたります。
導入メリット
- プロアクティブなブランド保護: フィッシングメールが配信される前に偽ドメインを察知し、被害を最小化。
- 詐欺コスト削減: 偽サイトによるユーザー被害が減り、対応や補償にかかるコストを低減。
- 高い網羅性: 新しいTLDや国別コードTLD、文字の置き換え(IDNホモグラフ攻撃)を含め幅広く検出。
- 早期ブロック/テイクダウン: 見つけた不正ドメインを迅速にブロックするフローを構築す ``` れば、フィッシング期間を実質的に短縮可能。
ユースケース
- ブランド濫用モニタリング: 小売企業や銀行などが自社名や類似スペルを常時監視し、該当ドメインを把握。
- 役員なりすまし対策: 取締役やCEOなどの名前を使ったBEC(ビジネスメール詐欺)ドメインを検出。
- インシデント対応: 大量のフィッシング攻撃が確認されたとき、攻撃者が使う他のドメインもまとめてブロック。
- サプライチェーンの安全性: パートナー企業に似せたドメインが急に登場した場合、偽請求や詐欺を未然に防ぐ。
FAQ
- PhishEyeとIris Detectの関係は? Iris Detectが以前のPhishEyeを発展させた製品であり、ドメイン生成エンジンに加え、幅広い検出と対策機能を備えています。
- IDN攻撃も検出できますか? 検出可能です。Unicode文字によるホモグラフドメインを含む検出ロジックが実装されています。
- テイクダウンはDomainToolsが行うのでしょうか? 直接は行いませんが、Iris Detect上で取得できる証拠(スクリーンショット、Whois、リスクスコアなど)により、レジストラへの申請やブロックリスト報告を迅速化できます。
- 連携は? Web UIまたはAPIを通じて利用でき、SIEMやSOAR、ブランド保護システムへの統合が可能です。
DomainTools Iris Enrich
製品紹介
DomainTools Iris Enrichは、大量のドメインやIPを既存のセキュリティツールで自動的にエンリッチメントするためのソリューションです。Iris Investigateがアナリストによるインタラクティブ分析に向くのに対し、Iris EnrichはSIEM、SOAR、TIP、独自スクリプトなどのワークフローに組み込んで、機械的にドメイン情報を取得する用途に特化しています。
導入メリット
- 検知&トリアージの高度化: SIEMアラートにドメイン情報が自動で付随し、誤検知削減や真の脅威の優先度が明確に。
- インシデント対応速度の向上: 怪しいドメインを検出した時点で自動的に関連情報が付与され、アナリストの調査ステップを短縮。
- スケーラビリティ: 大量のログやインジケータに対して、人手を増やさずエンリッチ処理を完遂。
- 一貫性: すべてのアラートに同じ基準(リスクスコアなど)を適用し、経験値に依存しない均質な対応が可能。
ユースケース
- SIEMでのSOCアラートエンリッチ: ドメインが含まれるアラートが発生すると、自動的にリスクスコアなどが付与され、アナリストは即座に危険度を把握。
- 脅威インテリジェンスプラットフォーム(TIP)連携: 外部から得たIOCリストに対してDomainToolsデータを照合し、真に悪性な指標を優先度高く扱う。
- インシデント対応の自動化: リスクが一定以上のドメイン宛て通信があればエンドポイントを隔離するなど、SOARで手順を半自動化。
- OEM活用: 一部のセキュリティベンダーが自社製品にDomainTools APIを組み込み、リアルタイムのドメイン評価を提供。
FAQ
- レガシーAPIとの違いは何ですか? Iris Enrichは複数のデータソースを1つのエンドポイントで返します。旧来のAPIはWhoisやReverse IPなど個別で呼び出す必要がありました。
- データ更新頻度はどれくらいですか? 新規登録やパッシブDNSの更新がリアルタイムに取り込まれ、リスクスコアも随時更新されます。
- 静的なブラックリストだけでは不十分ですか? Iris Enrichは未知や新規のドメインを予測的に評価し詳細コンテキストを付与できるため、単なる既知の悪性リストではカバーできない領域を補完します。
DomainTools Risk Score & Predictive Risk Feeds
製品紹介
DomainToolsのドメインリスクスコアは0〜100の数値で、Proximity(既知の悪性インフラとの関連度)とThreat Profile(ドメイン固有の特徴)をもとに算出されます。これに加え、Predictive Risk Feedsとして毎日更新される高リスクドメイン(IP含む)のリストも提供されます。
導入メリット
- 予防的ブロッキング: 悪用前に高リスクドメインを遮断し、被害の発生を大幅に抑止。
- 脅威インテリジェンスの強化: 従来のレピュテーションリストが追いついていない新規の悪性サイトも検知。
- インシデント数の削減: 悪質なメールやWeb通信を事前に排除し、SOCやIRチームの負担を軽減。
- 柔軟な導入: 最も危険なスコア帯だけを即ブロック、あるいは調査対象として扱うなど、企業のリスク許容度に合わせて運用を調整可能。
ユースケース
- フィッシング・マルウェアの先制防御: 企業のDNSフィルタに高リスクフィードを取り込み、新たな攻撃用ドメインが生まれても最初から通信を拒否。
- インシデント対応: 内部ホストが未知ドメインに通信した場合に即座にリスクスコアを参照。高スコアなら即座に端末隔離など強力な対策を実施。
- 脅威ハンティング: 新規に高リスク判定されたドメインの傾向を調べ、攻撃キャンペーンの特定や対策強化に役立てる。
- ベンダー/パートナー監視: 取引先を偽装するドメインを高リスクとして早期発見し、詐欺や経費損失を防ぐ。
FAQ
- 「予測的」とは何ですか? 機械学習モデルで、過去の悪性ドメインと類似パターンを持つ新規ドメインを高リスクと判断します。まだ攻撃が行われていなくても察知可能です。
- 誤検知率はどれくらいでしょうか? 完璧ではないが、特にスコア90〜100帯のほとんどがかなり悪質なものです。DomainToolsは継続的にモデルを改良し、誤検知を最小化しています。
- 配信形式はどのようになっていますか? 毎日ダウンロード(CSV/JSON)やAPIで提供可能です。SIEMやTIP、ファイアウォールと連携する例が多いです。
- グローバル対応していますか? 世界中のTLDやIPをカバーし、多言語やIDNドメインも検出対象となっています。
DomainTools Domain Visibility Feeds
製品紹介
Domain Visibility Feedsは、毎日新規に登録されたドメインやDNSで新たに観測されたホスト名など、インターネット上の大規模な変化を幅広く把握できる脅威インテリジェンス向けフィードです。リスクフィードのように「危険判定されたドメイン」だけを示すのではなく、より生のデータ(登録されたばかりのドメイン/突然活性化したドメインなど)を提供するのが特徴です。脅威ハンティングやブランド監視を自社独自に実施したい、より上級のセキュリティチームに有用です。
導入メリット
- 自社固有のターゲット検知: ブランド名や関係キーワードを含むドメインを日々自動フィルタし、ピンポイントに不審ドメインを発見。
- アクターインフラ追跡: 攻撃者が使うパターンやレジストラを定点観測し、新たな動きやキャンペーンを早期捕捉。
- 脅威環境の把握: 急増しているTLDや単語を分析することで、詐欺やマルウェアのトレンドを把握可能。
- カスタムインテリジェンス: 得られた生データを独自のビッグデータ基盤やダッシュボードに取り込み、企業固有の分析を実現。
ユースケース
- DIYブランド監視: 日次フィードに対し「自社ブランド」などでフィルタリングし、該当するドメインを即把握。
- フィッシング大発生の調査: 「office365-verify」のような文字列を含むドメインが一気に増えたタイミングを特定し、全容を追跡。
- インシデント応答の関連調査: あるドメインが最近登録されたばかりか、長期存在していたかを速やかに確認。
- セキュリティ製品テスト: 新規ドメインが大量発生する実状を模して、防御システムの検知精度を検証。
FAQ
- リアルタイムですか、バッチですか? 通常は日次のまとめ配信をします。より頻度の高い更新を要望する場合は別途検討も可能です。
- GDPRの影響はありますか? 個人情報が含まれるWhoisは一部匿名化されるが、Domain Visibility Feedsはあくまで「ドメインが登録された/観測された」というイベント情報が中心なので大きな影響はありません。
- リスクフィードで十分ではないのでしょうか? リスクフィードは悪意度判定まで含みますが、可視性フィードは新規登録を包括的に知るための素材データです。自社ブランドへの混入など、精査したい場合に有用です。
まとめ
DomainToolsは、Iris Investigate(詳細調査)、Iris Detect(そっくりドメイン検出)、Iris Enrich(大量ドメイン自動エンリッチ)、およびRisk Feeds / Visibility Feedsを含む統合ドメインインテリジェンス・プラットフォームを提供しています。これらを活用すると、セキュリティチームは次のような効果を期待できます。
- 脅威の検知と対応の高度化
- 調査時間の大幅な削減
- ブランド保護の強化
- インテリジェンス駆動型のプロアクティブなセキュリティ体制
worldsoft BLOGでの紹介
DomainToolsについて、弊社ブログでもご紹介しています。過去の記事はこちらから↓↓https://www.altech-ads.com/blog/category/domaintools/
メーカーの製品サイト
https://www.domaintools.com/
【言語】英語
