はじめに

GreyNoiseとは？

GreyNoiseとは、「インターネット全体のスキャンと攻撃トラフィックを収集して分析するサイバーセキュリティ プラットフォーム」になります。
収集して分析したIPアドレスに関するデータをラベル付けし、セキュリティツールのノイズを取り除いてアナリストが不要な分析に費やす時間を削減するための脅威インテリジェンス情報を提供しています。

GreyNoiseは機能は制限されますが、アカウントを作成せずとも利用ができます。

セキュリティ製品は（製品によるが）レピュテーションの低いIPアドレス宛の通信や通信内容から脅威を判定し、アラートの発報や通信の遮断を行います。特にインターネットからの通信を検査する場合、インターネットに公開されているIPアドレスに対して様々なスキャンが日常的に発生しているため、製品のセキュリティイベントが大量に発生します。この時、インターネットからの通信によるインシデントが発生した際に、インシデントに関連する通信と、全く関係ない第三者によるスキャン行為とを切り分けなければインシデントの全容をつかむことが難しくなります。
GreyNoiseはインシデント調査の際の第三者によるスキャン行為（ノイズ）の除去に役立つツールとなります。

機能

IPルックアップ

IPルックアップはその名の通り、IPアドレスを検索して、インターネットをスキャンしているのかなどの分析結果を表示してくれる機能になります。

分析結果には

• Malicious/Benign/Unknownの判定
• 攻撃アクター
• スキャンポート
• スキャンリクエスト
• 国やOS情報
• タグ

などが記載されています。
中でも「タグ」情報はそのIPアドレスが使っているスキャナや狙っている脆弱性情報が付与されているため、参考になります。

GREYNOISEクエリ言語 (GNQL)

GREYNOISEクエリ言語は、GreyNoise内のデータを検索する際に利用するクエリ言語になります。
IPアドレスやタグやメタデータを検索条件に指定することでユーザが求める情報を速やかに確認することができます。
記載方法は

＜field name＞:＜Value＞

となり、ワイルドカード(＊)や特定のキーワードを使用することができます。
詳しい使い方は、下記リンクをご確認ください。
Using the GreyNoise Query Language (GNQL)

タグトレンド

GreyNoiseの3日以内のトラフィックのタグ付けされた傾向の変化をランク付けしたものとなります。
直近で活発に活動しているアクターや脆弱性などを確認できます。

主な使い方

私は、GreyNoiseの機能は主に「IPルックアップ」を使っています。
IPルックアップの機能で検知したアラートの送信元IPアドレスを検索し、

• スキャナーとしてアクティブなIPアドレスなのか
• どういったスキャンを主に行っているのか
• 他組織に対してもスキャン行為をおこなっているのか

を調査するのに利用しています。
これらの情報を基に遮断してもいいアドレスなのか、自組織に対してのみ攻撃を行っている詳細調査が必要なIPアドレスなのか、別のインシデントとの関わりのないノイズなのかなどを判断する材料の一つとして利用しています。

同様の調査はVirusTotalやShodanなどでもできますが、これらは主にサーバーとして利用されている評価が主であり、クライアントIPアドレスについてはあまりレピュテーションが低い以上の情報がないことが多いです。（レピュテーションが低いこともあまり多くないですが）
スキャナーやBotとして活動しているIPアドレスであるかを確認するのに便利なため送信元IPアドレスを調査する場合は、こちらを利用しています。

まとめ

今回は、IPアドレスの調査ができるOSINTツールである「GreyNoise」について紹介しました。
これらのツールは、インターネットに公開されている情報を客観的に見ることができるという利点もありますが、公開されている情報を基に悪用することもできてしまいます。
くれぐれも公開されている情報を悪用することがないようにお願いいたします。

また、今回紹介した使い方はあくまで一例となります。
もっと面白い使い方、便利な使い方があると思いますので、そういった情報を紹介していただけると助かります。

それでは、ここまで拙い文章を読んでいただきありがとうございました。
久々に書いたので、書き方のルールとか色々忘れていたｗ

【更新履歴】
2023/09/10 PM 公開