パッシブ DNS
パッシブ DNS とは何ですか?
パッシブ DNS観測された DNS 応答を蓄積する履歴データベース。どのドメインが過去どの IP を指していたか、同じ IP を共有したドメインなどを追跡できる。
パッシブ DNS(pDNS)は、再帰リゾルバ上のセンサーが成功した DNS 応答を記録することで構築されます。権威サーバーに能動的に問い合わせる必要はありません。Farsight DNSDB、VirusTotal、SecurityTrails などのデータセットから、ドメインを起点に過去の IP、兄弟ドメイン、ネームサーバー、first-seen/last-seen タイムスタンプへピボットできます。脅威ハンティング、悪性インフラのマッピング、テイクダウン、DGA の追跡などにおいて中核となるリソースです。pDNS は実際に問い合わせられた内容しか記録しないため、WHOIS や Certificate Transparency、能動スキャンを補完し、観測対象のドメイン運用者に対して非侵襲的です。
● 例
- 01
DNSDB を使って怪しい C2 ドメインから、過去に同じ IP に同居していた別ドメインへピボットする。
- 02
フィッシングドメインが悪性メール配信の 24 時間前に初めて解決していたことを確認する。
● よくある質問
パッシブ DNS とは何ですか?
観測された DNS 応答を蓄積する履歴データベース。どのドメインが過去どの IP を指していたか、同じ IP を共有したドメインなどを追跡できる。 サイバーセキュリティの 防御と運用 カテゴリに属します。
パッシブ DNS とはどういう意味ですか?
観測された DNS 応答を蓄積する履歴データベース。どのドメインが過去どの IP を指していたか、同じ IP を共有したドメインなどを追跡できる。
パッシブ DNS はどのように機能しますか?
パッシブ DNS(pDNS)は、再帰リゾルバ上のセンサーが成功した DNS 応答を記録することで構築されます。権威サーバーに能動的に問い合わせる必要はありません。Farsight DNSDB、VirusTotal、SecurityTrails などのデータセットから、ドメインを起点に過去の IP、兄弟ドメイン、ネームサーバー、first-seen/last-seen タイムスタンプへピボットできます。脅威ハンティング、悪性インフラのマッピング、テイクダウン、DGA の追跡などにおいて中核となるリソースです。pDNS は実際に問い合わせられた内容しか記録しないため、WHOIS や Certificate Transparency、能動スキャンを補完し、観測対象のドメイン運用者に対して非侵襲的です。
パッシブ DNS からどのように防御しますか?
パッシブ DNS に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
パッシブ DNS の別名は何ですか?
一般的な別名: pDNS, DNS 観測データ。
● 関連用語
- defense-ops№ 1236
WHOIS 検索
ドメインや IP の登録情報(レジストラ、登録者、日付、ネームサーバーなど)を返す WHOIS / RDAP データベースへのクエリ。
- defense-ops№ 159
証明書透明性
RFC 6962 と 9162 で定義された、TLS 証明書の追記専用公開ログのエコシステム。誰でも任意のドメインに存在する証明書を監査できる。
- defense-ops№ 1147
スレットハンティング
既存検知をすり抜けた脅威を見つけ出すため、テレメトリを仮説駆動で能動的に探索する取り組み。
- attacks№ 348
ドメイン生成アルゴリズム(DGA)
感染ホストが C2 サーバーを発見できるよう、マルウェアが大量の候補ドメインを決定論的に生成するアルゴリズム。
- defense-ops№ 266
サイバー脅威インテリジェンス(CTI)
攻撃者・その動機・手口に関する証拠に基づく知見を体系化し、防御判断や統制の優先順位付けに活用する取り組み。