• 更新日:

urlscan.io

ウェブサイトをスキャンすることで対象サイトの安全性を評価できるサービスで、ウェブまたはAPIにより利用できます。また、1,300種類以上のブランドのフィッシングサイトに関する豊富な情報を有し、危険なサイトへのアクセスの遮断のほか、自社を騙る偽サイトのテイクダウンなどにも活用可能です。

目次
  1. 概要
  2. プランと価格の一覧
  3. 主要機能
    1. urlscan Pro
    2. Live Browsing
    3. NODフィード(Newly Observed Domainsフィード)
    4. urlscan Observe
    5. フィッシングURLフィード

概要

urlscan.ioは、ウェブサイトのURLをスキャンし、潜在的なセキュリティ脅威やリスクを検出するオンラインサービスです。提出されたURLを自動的にブラウズし、関連するアクティビティを記録することで、ユーザーはウェブページの安全性や信頼性を評価することができます。urlscan.ioはでは、毎日250万件の新しいドメインとホスト名をキャプチャしています。

urlscan.ioにより参照可能な情報
    • 通信対象のドメインとIPアドレス:ページが接続する外部のドメインやサーバーを特定します。
    • 要求されたリソースの内容:JavaScriptやCSSなど、ページ表示に必要なリソースを含みます。
    • ページ自体に関する詳細情報
      • スクリーンショットの取得
      • DOMコンテンツ(ウェブページのHTML構造の一部)
      • JavaScriptのグローバル変数
      • ページが生成するクッキーやその他の関連データ
urlscan.ioによる脅威検出の仕組み(例)
    • urlscan.ioはフィッシングに悪用される可能性が高い1,300種類以上のブランドを追跡しており、それらのブランドを模倣してユーザーを標的にするフィッシングサイトを検出した場合、強調表示しユーザーに注意を促します。

プランと価格の一覧

以下の無料・有料のプランが提供されています。

 

主要機能

urlscan Pro

 

 

urlscan Proは、Professional以上のプランで利用可能な、高度なセキュリティおよび脅威ハンティングプラットフォームです。urlscan Proを通じて以下のような高度な機能を利用することが可能です。

  1. リアルタイムのフィッシング検出
    • 世界中の1,300種類以上のブランドを監視し、ブランドのなりすましやフィッシングに関するスキャン結果を即座に検出。
    • API経由で検出されたフィッシングURLのフィードを取得可能。
  2. Live Browsing ※詳細は後述
    • ウェブサイト内の遷移を手動で操作してスキャンすることにより、アラートの解除、キャプチャ確認、リダイレクトの追跡などに対応することが可能。
  3. NODフィード(新規観測ドメインフィード)※詳細は後述
    • 新しく観測されたホスト名やドメイン、TLS証明書をリアルタイムで追跡。
    • サブドメインの列挙や攻撃面の特定、悪意のあるドメインの発見に有効。
  4. 高度な検索機能
    • 過去のスキャン履歴に基づく検索が可能。ページのテキストやタイトルなど、より詳細な検索条件を使用してクエリ検索を行うことが可能。
      ※クエリの記述方法については、メーカーのウェブサイトで参照可能。
  5. 類似検索とアラート機能
    • サイトの構造や外観の類似性に基づく検索が可能で、偽サイトの特定に有効。
    • 重要なスキャン結果が見つかった際には、メール通知を受け取るアラート機能も提供。
  6. Live + Torスキャン
    • 地理的に異なる場所やIPを利用した多角的なスキャンが可能で、制限回避が容易。
    • Torネットワーク上の.onionサイトもスキャンできるため、ダークウェブの監視に対応。

Live Browsing

urlscanは、Google Chromeを使用してウェブサイトを自動で解析し、その結果を表示します。ただし場合によっては、ダイアログやキャプチャーなど、手動での操作が必要な場合もあります。
Live Browsing機能を使って、ウェブサイト内の遷移を手動で操作してスキャンすることにより、アラートの解除、キャプチャ確認、リダイレクトの追跡などに対応することが可能になります。
また、スキャン結果の作成以外のリサーチ用途にも使用できます。
  • テイクダウン用の証拠収集
  • オープンディレクトリの閲覧
  • .onionアドレスでのTorネットワークブラウジング
  • サードパーティサイトからのファイルやスクリーンショットの迅速な取得

NODフィード(Newly Observed Domainsフィード)

NODフィードは、新しく観測されたドメイン(NOD)やホスト名を追跡するプラットフォームです。毎日数十万の新しいドメインと数百万のホスト名を観測し、リアルタイムで提供されるNODフィードを活用して、検索や警告ルールを設定できます。強力なクエリ機能により、複雑な検索が可能です。

また、過去の観測データも保存され、いつ・どこで観測されたか、DNSの解像度の変化なども確認できます。さらに、自動監視機能により新しいアイテムが検出されると通知され、一定期間のスキャンが自動的に行われます。

以下の用途に活用することができます。

  • ドメインなりすましの監視:ブランドなりすましやタイポスクワッティング(ユーザーのURLの入力ミスや打ち間違いを利用し、攻撃者が用意したWebサイトへと不正に誘導する手法)を監視
  • 攻撃面の発見:ドメインやネットワーク上の全ホストを列挙
  • インフラストラクチャのピボット:悪意のあるインフラから関連ドメインを探索
  • サブドメイン列挙:特定ドメイン内のすべてのホスト名を表示

urlscan Observe

urlscan Observeは、悪意のあるインフラストラクチャの自動検出と監視のための機能です。以下の用途に活用することができます。

  • 1. 自動発見と監視:ドメイン、ホスト名、IPアドレス、URLなどを自動的に発見し、アクティビティや変更を追跡します。
  • 2. インシデントの管理:手動でのインシデント登録や、保存された検索とサブスクリプションを通じて自動でインシデントを作成できます。
  • 3. タイムラインの可視化:ドメインのライフサイクルを詳細に追跡し、DNS解決状況やTLS証明書の発行、サイトの変遷(例:フィッシングサイトへの変化など)を時系列で表示します。
  • 4. アラートと通知システム:新しいインシデントや既存のインシデントの変更について、メールやWebhookで通知します。
  • 5. 高度な検索とフィルタリング:毎日数百万の新しいドメインとホスト名を含むリアルタイムフィードを活用し、クエリ言語を使って複雑な検索を実行可能です。

フィッシングURLフィード

フィッシングURLフィードは、自社の脅威インテリジェンスシステムへの統合などのためにご活用いただけます。1日あたり1,500以上のURLを含みます。

また、フィードはCSV形式またはJSON形式で取得可能です。フィードには以下のメタデータが含まれます。

  • フィッシングページのURL、ドメイン、TLD
  • フィッシング標的の企業の名称、業種、所在国
  • フィッシングページをホストしているIPアドレスおよびジオIP情報(ジオIP情報はMaxMind社提供によるもの)
  • フィッシングURLのホスティングに使用されているASNとASN名

メーカーのウェブサイトでフィードのサンプルを取得することが可能です。

TOP