概要
DomainToolsは、ドメインインテリジェンスに特化したサイバーセキュリティプラットフォームであり、企業やセキュリティ専門家がドメイン情報を活用して脅威を検出し、防御対策を強化するためのツールです。最大の特徴は、ドメインに関連する膨大なデータセットを集積し、脅威スコアリングやインフラストラクチャの関連性を可視化できる点です。これにより、攻撃者の行動やドメインの潜在的なリスクを早期に発見し、対応を迅速に行うことが可能です。
【主な特徴】
1. WHOISデータとDNS情報
DomainToolsは、WHOIS情報やDNS履歴を基にしたデータを提供し、ドメインの所有者、登録時期、ホスティング情報などを詳細に把握できます。これにより、脅威アクターのインフラストラクチャの全体像を理解しやすくなります。特に、攻撃者がどのようなインフラを使用しているかを追跡し、他の関連ドメインとの関係性を解析することが可能です。
2. 脅威スコアリングとリスク評価
DomainToolsは各ドメインに対してリスクスコアを付与し、脅威の可能性を予測します。この脅威スコアに基づき、ドメインがフィッシングやマルウェアに関連しているかどうかを素早く判断でき、企業は早期に防御対策を講じることができます。
3. リアルタイム脅威インテリジェンス
リアルタイムでのデータ更新により、新たに登録された危険なドメインやフィッシングサイトを迅速に検出できます。これにより、セキュリティチームは攻撃が発生する前に潜在的な脅威を予測し、プロアクティブな対応が可能です。
4. Maltegoや他ツールとの統合
DomainToolsはMaltegoなどのセキュリティ分析ツールと統合することで、ドメインやIPアドレスの相関関係を視覚化し、攻撃者のTTPs(戦術・技術・手順)を効率的に解析するサポートを提供します。これにより、脅威インテリジェンスの有効性がさらに高まります。
5. 多様な利用シナリオに対応
DomainToolsは、フィッシング防止、ブランド保護、脅威ハンティング、フォレンジックなど、さまざまなセキュリティニーズに対応可能です。
製品・プラン一覧
DomainToolsの主要なソリューションとしては、Iris (Investigate / Enrich / Detect)、Farsight DNSDB、Threat Intelligence Feeds があります。
- Iris
Irisは、脅威インテリジェンスプラットフォームであり、複数のモジュールを提供しています。- Iris Investigate: 脅威アクターのネットワークをマッピングするツール。リスクスコアをはじめとする、ドメイン関連の脅威に関する詳細なインサイトを提供します。
【ユースケース】インシデントレスポンス、フォレンジック、脅威ハンティングなど。 - Iris Enrich: DomainToolsのデータをSIEMやSOARといった外部プラットフォームに統合し、脅威の検知や自動化を強化するモジュールです。
【ユースケース】SIEM、SOAR、TIP(Threat Intelligence Platform。Maltegoなどを含む)などと統合。アラートやイベントログにおける、ドメインやIPに関する情報のエンリッチメント。 - Iris Detect: 新たに登録されたドメインやなりすましドメインを発見し、監視する機能を持っています。ブランド保護や不正防止に役立ちます。不正なドメインを発見した場合、テイクダウンの依頼を行うことも可能です。
【ユースケース】自社のブランド保護、不正防止、ビジネスメール詐欺(BEC)、スピアフィッシング防止、サプライチェーンリスク軽減など。
- Iris Investigate: 脅威アクターのネットワークをマッピングするツール。リスクスコアをはじめとする、ドメイン関連の脅威に関する詳細なインサイトを提供します。
- Farsight DNSDB
Farsight DNSDBは世界最大のパッシブDNSデータベースで、2009年以降のDNSリクエストとレスポンスを収集し、インターネット上のドメインとIPアドレスの関係を時系列で記録しています。このデータベースは、インターネット上のDNSインフラストラクチャの動向を把握し、サイバー攻撃の調査や防御に役立つ強力なツールです。以下の特徴があります。-
- 1日あたり2TBのDNSデータを収集
- 1000億以上のDNSレコード
- 毎秒20万件以上の観測データ
- 1Gb/秒のリアルタイムストリーミングデータ
-
- Threat Intelligence Feeds
通常Web UIまたはAPI経由で提供されるDomainTools社のデータそのものを、フィードで取得できる契約です。
Iris Investigate のプランの一覧
Iris Investigate のプランの一覧は以下の通りです。価格は契約時期・プランによっても変動します。詳細はお問い合わせください。
| プラン | Tier 0 (Starter) | Tier 1 | Tier 2 | Tier 3 | Tier 4 | Tier 5 |
|---|---|---|---|---|---|---|
| Iris Investigate - Risk Score | ||||||
| Iris Investigate - pDNS UI | ※ | |||||
| DNSDB API (クエリ/月) | ※ | 100 | 100 | 100 | 100 | 100 |
| DNSDB Scout UI | ※ | |||||
| Whois History API (レコード/月) | 1,000 | 1,000 | 2,500 | 5,000 | 10,000 | 100,000 |
| Hosting History API (クエリ/月) | 250 | 1,000 | 2,500 | 5,000 | 10,000 | 100,000 |
| Reverse Whois API (クエリ/月) | 250 | 350 | 1,000 | 2,500 | 10,000 | 20,000 |
| Domain Profile API (クエリ/月) | 250 | 1,000 | 2,500 | 5,000 | 10,000 | 100,000 |
| Parsed Whois API (クエリ/月) | 250 | 1,000 | 2,500 | 5,000 | 10,000 | 100,000 |
※Tier0用オプション として、pDNS Add-on が契約可能です。これを契約することにより、以下が有効になります。
- Iris Investigate Integrated pDNS UI
- DNSDB API (100 Queries/月)
- DNSDB Scout UI
Iris Enrichment のプランの一覧
Iris Enrichment のプランの一覧は以下の通りです。価格は契約時期・プランによっても変動します。詳細はお問い合わせください。
| プラン | Tier 1 | Tier 2 | Tier 3 | Tier 4 | Tier 5 |
|---|---|---|---|---|---|
| Iris Enrich API (クエリ/月) | 8,000 | 50,000 | 250,000 | 1,000,000 | 2,500,000 |
| Risk API (クエリ/月) | 8,000 ※1 | 50,000 ※1 | 250,000 ※2 | 1,000,000 ※2 | 2,500,000 ※2 |
| Whois History API (レコード/月) | 50,000 | 250,000 | 500,000 | 1,000,000 | 1,000,000 |
| Hosting History API (クエリ/月) | 1,000 | 2,500 | 6,500 | 20,000 | 50,000 |
| Reverse Whois API (クエリ/月) | 350 | 1,000 | 2,500 | 6,500 | 20,000 |
| Domain Profile API (クエリ/月) | 50,000 | 250,000 | 500,000 | 1,000,000 | 5,000,000 |
| Parsed Whois API (クエリ/月) | 50,000 | 250,000 | 500,000 | 1,000,000 | 5,000,000 |
※1 20クエリ/分の制限あり
※2 240クエリ/分の制限あり
Iris Detect のプランの一覧
Iris Detect のプランの一覧は以下の通りです。価格は契約時期・プランによっても変動します。詳細はお問い合わせください。
| プラン | Tier 1 | Tier 2 | Tier 3 | Tier 4 | Tier 5 | Tier 6 | Tier 7 | Tier 8 |
|---|---|---|---|---|---|---|---|---|
| Iris Detect Monitors (モニター数) | 5 | 10 | 25 | 50 | 100 | 250 | 500 | 1,000 |
| Iris Detect Searches (クエリ/月) | 15 | 25 | 60 | 125 | 250 | 750 | 1,250 | 2,500 |
参考資料
■ ケーススタディ:2020年に発覚した大規模なサイバー攻撃「SolarWinds SUNBURST」への対応
DomainToolsとMaltegoがどのようにして悪意のある活動を特定したかのケーススタディです。FarsightのパッシブDNSデータを使用し、過去のDNSデータを基に、SUNBURST攻撃に関連するサブドメインやIPアドレスを追跡しました。主な内容は以下の通りです。
- Passive DNSデータを活用することで、SUNBURST攻撃に関与したサブドメインとIPアドレスの関連性を確認でき、攻撃者のインフラを特定することができました。
- C2(コマンド&コントロール)通信を分析し、Microsoftが対応する前、さらにはSolarWinds攻撃が公表される前の通信活動を調査しました。これにより、攻撃の初期段階を追跡することが可能になりました。
- DomainToolsとMaltegoの統合によって、ドメインとIPアドレスの相関関係を分析し、過去や将来にわたる脅威の特定が容易になりました。
これにより、調査官は攻撃者のインフラを再構築し、従来の方法では見逃される可能性のあったIoCを特定することができました。