GitHub Arsenal:サイバー犯罪と闘うためのオープンソースツール
絶えず変化し続けるサイバー脅威の情勢において、GitHub上のオープンソースツールは強力な防御手段となります。
サイバー犯罪との闘いは世界的な取り組みであり、オープンソースコミュニティはそこで極めて重要な役割を果たしています。ソフトウェア開発の世界をリードするプラットフォームであるGitHubには、フィッシングといった広範に蔓延する脅威を含め、さまざまなサイバー脅威を検知、分析、対処するために設計された多種多様なツールがホストされています。
サイバーセキュリティにおけるオープンソースの力
オープンソースプロジェクトは比類のない透明性を提供しており、世界中のセキュリティ研究者や開発者がコードを精査し、脆弱性を特定し、改善に貢献することを可能にしています。この協働モデルは、急速なイノベーションを促進し、高度なサイバー攻撃に対抗するための、コミュニティによって検証された堅牢なソリューションを生み出しています。
フィッシング対策の主要なリソース
一般的なサイバーセキュリティツールに加え、フィッシング攻撃に直接対抗するために極めて有用な専門的なリソースがいくつかあります。これらのツールには、リアルタイムの脅威フィードからURL分析サービス、コミュニティ主導のブロックリストまで、さまざまなものがあります:
- TweetFeed.live: サイバー脅威に関するインテリジェンスのリアルタイム情報を提供しており、ソーシャルメディア上で共有されるフィッシング攻撃に関する早期警告などが含まれることが多い。
- Phish.Report: フィッシングサイトを報告するためのプラットフォームであり、悪意のあるURLのブロックに役立つ共同データベースの構築に貢献しています。
- URLQuery.net: 不審なURLを分析する無料サービスを提供しており、その動作や潜在的な脅威に関する詳細なレポートを提供します。
- ThreatView.io の実験的な IOC に関するツイート: ツイートから抽出された侵害の兆候(IOC)の生データフィード。自動化された脅威検知システムに有用です。
- Polkadot-JS フィッシング・リポジトリ: Polkadotエコシステムを標的としたフィッシング攻撃を追跡・検知することを目的としたGitHubリポジトリ。
- URLAbuse.com の公開データ: 報告された悪質なURLの公開リストを提供しており、ブロックリストの更新に利用できます。
- MetaMask/eth-phishing-detect: MetaMaskによる、イーサリアム関連のフィッシング攻撃を検知・防止するためのオープンソースプロジェクト。
- Phishing.Army ブロックリスト: Phishing.Armyコミュニティによって管理され、定期的に更新される、既知のフィッシングURLのブロックリスト。
- VirusTotalによるURL分析: 不審なファイルやURLを分析し、複数のウイルス対策エンジンやブラックリストサービスからの情報を提供してくれる、広く利用されているサービスです。
- フィッシュ・ガード ブルー: ユーザーがフィッシングリンクを特定し、回避できるよう支援することを目的としたウェブアプリケーション。
- Netcraftフィッシングレポート: フィッシングサイトを報告するためのNetcraftのプラットフォームであり、同社の包括的なフィッシング対策活動に貢献しています。
- Sealフィッシングボット(Telegram): ユーザーがリンクのフィッシングの有無を確認したり、不審な活動を報告したりできるTelegramボットです。
- URLScan.io: ウェブサイトをスキャン・分析し、そのコンテンツ、採用されている技術、および潜在的な悪意のある活動に関する詳細なレポートを提供する無料サービス。
「PhishDestroyでは、サイバーセキュリティにおける協働と透明性の力を強く信じています。私たちの取り組みは、オープンソースの精神に沿った原則に基づいています。」
OSINT調査員のツールキット
ブロックリストだけでは不十分であり、本格的な調査にはより詳細な監視体制が必要です。以下のオープンソースツールは、フィッシング対策ワークフローの基盤となるものです。いずれも無料で、スクリプト化が可能であり、コミュニティによって実戦での有効性が実証されています:
- urlscan.io — サンドボックス環境でのURL分析:DOMの完全なスナップショット、スクリーンショット、ネットワーク通信、証明書の詳細。サイト閉鎖前の証拠保全に不可欠です。
- VirusTotal — URL、ファイル、IPアドレス、ハッシュに対するマルチエンジンによるレピュテーション検索。ここにフィッシングURLを送信すると、数十社のAV/EDRベンダーに検知情報が伝播されます。
- 初段 — IoTおよび公開サービスの検索エンジン。詐欺師のインフラの可視化、ホスティングクラスターの特定、および管理パネルの発見に利用される。
- Censys — 証明書の透明性(Certificate Transparency)とバナー検索。ここでは、1つのTLS証明書から100もの関連ドメインへと調査の焦点を移すことは日常茶飯事です。
- crt.sh — 無料で利用できるCertificate Transparencyログ検索。保護対象のブランドを標的とした、新たに発行された類似証明書を検知するのに最適です。
- ウェイバック・マシン — 元のサイトが消滅した後も残るスナップショットを保存します。
- WHOIS & ViewDNS.info — 登録者情報の検索、IP逆引き、およびDNSピボッティング。
- Maltego CE — グラフベースのリンク分析。電子メール、ドメイン、IP、ソーシャルメディアの各ノードにまたがる詐欺師のネットワークを可視化するのに最適です。
- theHarvester — 公開情報源からメールアドレス、サブドメイン、ホスト名、および従業員の氏名を収集します。
- Kali Linux — 数百ものOSINTツールやセキュリティツールがプリインストールされたディストリビューション。
ブラウザ側の防御策
フィッシング被害者の多くは、クリックした瞬間に罠にかかってしまいます。ブラウザ層での防御機能により、攻撃がウォレットに到達する前に阻止されます:
- MetaMask eth-phishing-detect — MetaMask や多くの Web3 ウォレットに標準搭載されているドメインブロックリスト。既知のフィッシングページが読み込まれる前にブロックします。
- PhishDestroy 削除リスト — 13万件以上の厳選されたアクティブな詐欺・フィッシングドメインを収録。Pi-hole、AdGuard、ブラウザ拡張機能、または企業のファイアウォールとの統合にすぐ対応できる、複数の形式(DNS、ホスト、JSON、CSV)で提供されています。
- PhishFortのリスト — コミュニティによって管理されている暗号通貨フィッシングブロックリスト。
- uBlock Origin + プライバシー・バジャー — 広告やトラッカーをフィルタリングし、マルウェア広告の配信経路への接触を大幅に低減します。
- ScamSniffer — Web3詐欺データベース拡張機能。ページ上で資金を吸い取るコントラクトのリスクを可視化します。
脅威インテリジェンス・フィード
SOC、CERT、またはセキュリティスタックを運用している場合は、アクティブなフィッシングインフラストラクチャに関する以下の公開フィードを取り込んでください:
- destroylist — 自動更新、13万件以上の脅威、無料API、複数のフォーマットに対応。
- OpenPhish — テキスト形式のコミュニティ向けフィッシング情報フィード。
- PhishTank — フィッシングと確認されたURL(Cisco/OpenDNS)。
- URLhaus (abuse.ch) — マルウェアを配布するURL。
- TweetFeed — 情報セキュリティ関連のソーシャルメディアから収集したIOC。
- ScamSniffer 詐欺データベース — Web3のブラックリスト。
YARA、ハニーポット、およびアクティブディフェンス
- PhishingKit-Yaraルール — HTML/JS 内の既知のフィッシングキットのフィンガープリントを検出する。
- Yaraのルール — コミュニティによって管理されているルールライブラリ。
- ハニーポット & カナリア・トークン — canarytokens.org, 『メイズ・ランナー』CE版.
- オペレーション・テイクダウン — フィッシング攻撃の進行を阻止するための、当社独自のスクリプト集。
ワークフロー — 情報提供から摘発まで
一般的な調査では、これらのツールを次のように組み合わせて使用します:
- 見込み客を獲得する — コミュニティレポート(Telegramボット)、有料広告のパーサーによる攻撃、またはCT-logのアラート。
- フィッシングの確認 — urlscan.io 経由のサンドボックス;VirusTotal、OpenPhish、PhishTank で照合。
- 地図インフラ — Censys/Shodan を利用して、関連するドメイン、IP アドレス、証明書を特定する。
- 証拠を保全する — ウェイバックマシンのスナップショット、urlscanアーカイブ、HTML/JSの完全キャプチャ、スクリーンショット。
- パートナーに通知する — 50社以上のアンチウイルスベンダーに報告し、レジストラやホスティング事業者に不正利用として通報し、MetaMaskおよびScamSnifferのフィードに配信する。
- モニター — 削除を確認する。近隣のIPアドレスや、新たに登録された類似ドメインでの再出現に注意する。
続きを読む:テイクダウンの仕組み · 詐欺を助長する登録業者 · 暗号資産セキュリティガイド
これらのオープンソースツールを活用することで、個人、中小企業、大企業を問わず、サイバーセキュリティ体制を大幅に強化することができます。オープンソースコミュニティにおける集合知と継続的な開発は、サイバー犯罪との絶え間ない戦いにおいてかけがえのない資産です。常に警戒を怠らず、最新情報を入手し、オープンソースの力を活用して、自分自身とコミュニティを守りましょう。
