WHOIS 検索
WHOIS 検索 とは何ですか?
WHOIS 検索ドメインや IP の登録情報(レジストラ、登録者、日付、ネームサーバーなど)を返す WHOIS / RDAP データベースへのクエリ。
WHOIS は、ドメインや IP の登録メタデータ(登録者、レジストラ、作成日・有効期限、ステータスフラグ、権威ネームサーバー)を公開する古くからのプロトコルです。調査者はドメインの年齢評価(新規ドメインはリスクが高い)、登録者をまたぐインフラの相関付け、共有メールアドレスからのピボットなどに用います。WHOIS は RDAP(RFC 7480-7484)に置き換わりつつあり、構造化 JSON を返し、認証や GDPR に配慮した非開示処理にも対応します。多くのレジストリが個人情報をマスクしているため、アナリストは WHOIS / RDAP をパッシブ DNS、Certificate Transparency、履歴アーカイブと組み合わせて使います。
● 例
- 01
フィッシングドメインがキャンペーンの 12 時間前に登録されていたことを発見する。
- 02
登録者のメールアドレスから、同じ週に作成された似た名前のドメインへピボットする。
● よくある質問
WHOIS 検索 とは何ですか?
ドメインや IP の登録情報(レジストラ、登録者、日付、ネームサーバーなど)を返す WHOIS / RDAP データベースへのクエリ。 サイバーセキュリティの 防御と運用 カテゴリに属します。
WHOIS 検索 とはどういう意味ですか?
ドメインや IP の登録情報(レジストラ、登録者、日付、ネームサーバーなど)を返す WHOIS / RDAP データベースへのクエリ。
WHOIS 検索 はどのように機能しますか?
WHOIS は、ドメインや IP の登録メタデータ(登録者、レジストラ、作成日・有効期限、ステータスフラグ、権威ネームサーバー)を公開する古くからのプロトコルです。調査者はドメインの年齢評価(新規ドメインはリスクが高い)、登録者をまたぐインフラの相関付け、共有メールアドレスからのピボットなどに用います。WHOIS は RDAP(RFC 7480-7484)に置き換わりつつあり、構造化 JSON を返し、認証や GDPR に配慮した非開示処理にも対応します。多くのレジストリが個人情報をマスクしているため、アナリストは WHOIS / RDAP をパッシブ DNS、Certificate Transparency、履歴アーカイブと組み合わせて使います。
WHOIS 検索 からどのように防御しますか?
WHOIS 検索 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
WHOIS 検索 の別名は何ですか?
一般的な別名: WHOIS, RDAP 検索。
● 関連用語
- defense-ops№ 792
パッシブ DNS
観測された DNS 応答を蓄積する履歴データベース。どのドメインが過去どの IP を指していたか、同じ IP を共有したドメインなどを追跡できる。
- defense-ops№ 159
証明書透明性
RFC 6962 と 9162 で定義された、TLS 証明書の追記専用公開ログのエコシステム。誰でも任意のドメインに存在する証明書を監査できる。
- attacks№ 349
ドメインハイジャック
登録済みドメインに対するレジストラまたはレジストリレベルでの不正な制御権奪取。攻撃者はトラフィック・メール・信頼を悪意ある基盤へ向け直せる。
- attacks№ 269
サイバースクワッティング
他者の商標や著名なブランド名を含むドメイン名を権限なく取得する行為。多くは権利者から金銭を引き出すか、利用者を欺くことが目的。
- defense-ops№ 266
サイバー脅威インテリジェンス(CTI)
攻撃者・その動機・手口に関する証拠に基づく知見を体系化し、防御判断や統制の優先順位付けに活用する取り組み。