URLのチェック手法

はじめに

SPAMメールに記載されたURLやセキュリティ機器がアラートを上げたURLを調査する手法について記載します。

対象者

セキュリティ業務に携わる初級者

注意事項

URLが問題のあるサイトであった場合、直接アクセスすることで以下のリスクがあります。

• ブラウザの脆弱性を攻撃される
• マルウェアがダウンロードされる
• フィッシングサイト等により、情報を搾取される

また、調査の際には以下の点に注意する必要があります。

• こちらが調査している事がバレる可能性
  • URLに含まれるパラメータ
  • IPアドレス
• 水飲み場攻撃等、特定のアクセス元（国等）で挙動が変わるケース
• 再現性の無いケース
• 調査用のサイトに入力した値が第三者に閲覧される可能性

確認手法

1. 調査対象のURLにキーとなる値が含まれている場合は除去します
   • 例）「hxxp://example.com/?q=F39AE60EAA7636E82660D1697AF94E7D」
2. 以下のサイトで確認します
   • VirusTotal
   • urlscan.io
   • aguse
3. その他レピュテーションサイト
   • Norton Safe Web
   • Webroot BrightCloud
   • Free URL scanner
   • gred

VirusTotalでの注意点

• 「25 days ago」等最後のスキャンから経過した期間が表示されているため、古すぎて信ぴょう性が低い場合はReanalyze URLで再スキャンする
• HTTP Statusコードが他のスキャンサイトの結果と同一であること

urlscan.ioでの注意点

• optionsをクリックし、Public scanのチェックを外す
• 検索をしたのち、DOMでソースを確認する

aguseでの注意点

• タイムアウトが頻発する時間帯がある