Modatは、インターネットインテリジェンスプラットフォーム「Magnify」にパッシブDNSインテリジェンス機能をネイティブ統合したと発表しました。これにより、IP・デバイスフィンガープリント・証明書・パッシブDNSが一つのピボット駆動型調査フローに統合されます。

脅威インテリジェンス、脅威ハンティング、エクスポージャー管理、不正対策、そしてセキュリティチームは長年にわたり、複数のツールとデータポイントを横断しながら証拠を手作業でつなぎ合わせることを余儀なくされてきました。Magnifyはそのギャップを解消します。クラスタリングベースのデバイスフィンガープリントと地理的ネイティブスキャニングを基盤として、従来のインターネットスキャナーでは検出できないインフラを可視化します。
多くのインターネットインテリジェンスプラットフォームは単一のプライマリシグナルを中心に構築されており、他のデータタイプはセカンダリルックアップとして後から追加される形をとっています。Magnifyはその逆の設計思想で開発されています。すべてのシグナルが、対等なピボットポイントとして機能します。
パッシブDNSがプラットフォームにネイティブ統合されたことで、調査担当者はドメインを起点にそのドメインをホストしたすべてのIPを探索したり、TLS証明書を起点にその証明書で保護されたすべてのドメインを探索したり、クラスタ化されたデバイスフィンガープリントを起点に同一ソフトウェアスタックを実行しているすべてのホストを探索したりできるようになりました。いずれも同一のクエリパスで実行できます。その結果として得られるのは、アナリストが手作業でつなぎ合わせる断片的なルックアップの集合ではなく、インターネットの変化に追従してリアルタイムで更新される攻撃者インフラのグラフです。
Modat パッシブDNSプラットフォームの主な機能は以下のとおりです。
- インフラピボット:IP・ドメイン・TLS証明書・クラスタ化デバイスフィンガープリント間を単一グラフ上で横断でき、ツールをまたいで再構築することなく関係性を保持できます。
- リアルタイム脅威相関:新たに観測されたドメインやIPを、既知の侵害指標(IOC)・脅威アクターのTTP・マルウェアファミリーと自動的に相関付けします。
- 遡及的インフラ分析:MagnifyのIP・デバイス・証明書のタイムラインとともにパッシブDNSをクエリ可能にし、正規インフラおよび攻撃者インフラのライフサイクル全体を再構築できます。
- APIファースト統合:堅牢なREST APIを通じて、主要なSIEM・SOAR・脅威インテリジェンスプラットフォームとシームレスに連携します。
「多くのインターネットインテリジェンスツールはシグナルを一つずつ積み上げながら構築されてきましたが、その弊害は明らかです。アナリストは証拠をつなぎ合わせる作業に時間を費やし、実際の対応に集中できていません」と、ModatのCEO兼創業者であるSoufian El Yadmani氏は述べています。「Magnifyは最初から、IP・デバイス・証明書、そして今回加わったパッシブDNSというすべてのシグナルが、同一グラフ上のピボットポイントとなるよう設計されています。パッシブDNSは後付けの機能ではありません。全体像をより完全なものにする、第4の柱です。」