サイバー犯罪者は多くのデジタルの痕跡を残すことが多く、組織が攻撃を受けた場合、それらの手がかりを見つけることで、誰が何のために攻撃しているのかを明らかにすることができます。
シアトルに拠点を置く DomainTools という小さな会社は、15 年にわたって、ドメイン名の登録履歴やネットワーク情報など、Web に関する膨大な情報を収集してきました。これらの情報はすべて、サイバー攻撃の調査に非常に役立ちます。
このツールを使用すると、たとえば、特定の IP アドレスを使用している他の Web サイト、それらの登録に使用された電子メール アドレス、DNS サーバーなどの情報を確認することができます。
しかし、DomainTools の Web ベースのインターフェースは、サイバー攻撃を調査する際に調査員が従うワークフローや、大量の情報を収集する必要がある速度を反映するように設計されていませんでした。
サイバーセキュリティ調査がかなり進んでいる組織でさえ、「ワークフローを網羅した必要なツールが一箇所になかったため」、調査方法を寄せ集めていたと、DomainToolsの製品管理ディレクター、ティム・ヘルミング氏は語る。
「彼らは時間に追われています」と彼は言った。「すぐに答えが必要なのです。」
そこで同社は、捜査員が手がかりをたどり、手がかりをどのように見つけたかを記録し、脅威の実行者に関する明確な書類をまとめることを容易にする Web ベースのプラットフォームである Iris という新製品を開発しました。
Domain Tools はデータ セットへの API を提供しているが、多くの企業はそれをシステムに統合するリソースがなく、依然として Web ベースのインターフェースを好んでいると CEO の Tim Chen 氏は語った。
Iris はユーザーの検索履歴を追跡するため、調査から数週間後に戻って結論に至るまでの過程を把握することが容易になります。
怪しいドメイン名を調べたことがある人なら誰でも、たった 1 つのドメイン名と電子メール アドレスから始めて、数時間後には一見関連しているように見える大量のデータが展開され、簡単に迷子になってしまうことを知っているでしょう。
「私たちは、人々がウサギの穴から抜け出すための地図を手に入れられるように手助けしたかったのです」とヘルミング氏は語った。
Iris には、人気のオープンソース インテリジェンス ツール Maltego に似た視覚化機能もあり、whois データ、IP アドレス、ドメイン名などの情報をマップ表示します。
ドメインツール DomainTools の新しいプラットフォームである Iris は、新たなサイバー攻撃の追跡と調査をよりクリーンかつ効率的にすることを目的としています。
ヘルミング氏によると、調査するドメインの長いリストを入力したり、解析されたwhoisデータの.CSVファイルをエクスポートしたりする機能など、いくつかの改善は小さなものだという。
ヘルミング氏は、これらの改善により、例えば、企業が法執行機関に優れた証拠書類を提供したり、ネットワークやホスト防御システム内に悪意のある行為をブロックするための新しいルールを作成したりできるようになると述べた。
IrisはDomainToolsのエンタープライズパッケージの一部として提供されます。通常、顧客はニーズと他の製品の使用状況に基づいてカスタマイズされた価格設定を受けるとチェン氏は述べています。
DomainToolsは事業拡大を計画しています。同社は100億件以上のwhoisレコードを保有しており、研究者にとって役立つビッグデータ分析の可能性を秘めています。
チェン氏は、同社の目標は最終的には攻撃の予防に使用できる予測情報機能を開発することだと語った。
「そうすれば、顧客にとって興味深いトレンドを明らかにできるようになります」と彼は語った。
