GreyNoise Labs は、ユーザーの IP アドレスがボットネットや住宅用プロキシネットワークなどの悪意あるスキャン活動で観測されているかどうかを確認できる、GreyNoise IP Check という無料ツールを公開しました。
グローバルなセンサーネットワークを通じてインターネット全体のアクティビティを追跡している脅威監視企業によると、この問題は過去 1 年で大幅に拡大しており、多くのユーザーが知らないうちに悪意あるオンライン活動に加担しているといいます。
「過去 1 年の間に、住宅用プロキシネットワークが爆発的に増加し、家庭用インターネット回線が他人のトラフィックの出口ポイントとして利用されるようになっています」と、GreyNoise は説明しています。
「人によっては、数ドルと引き換えに、このようなことを行うソフトウェアを承知の上でインストールする場合もあります。しかし多くの場合は、悪意あるアプリやブラウザ拡張機能を通じてマルウェアがデバイスにこっそり入り込み、気づかれないまま他人のインフラのノードへと変えてしまうのです。」
デバイスのログや設定、ネットワークトラフィック、アクティビティパターンを調べるなど、悪意あるボットネット活動に巻き込まれているかどうかを判断する方法はいくつかありますが、IP アドレスを単純にチェックするツールは、最も侵襲性の低い方法です。
スキャナーのウェブページを訪れた人は、次の 3 つの結果のいずれかを受け取ります。
- Clean(クリーン):悪意あるスキャン活動は検出されませんでした。
- Malicious/Suspicious:この IP はスキャン行為を示しています。ユーザーは自分のネットワーク上のデバイスを調査する必要があります。
- Common Business Service:この IP は VPN、企業ネットワーク、またはクラウドプロバイダーに属しており、その環境ではスキャン活動は通常のものです。
出典: BleepingComputer
提供された IP アドレスと関連付けられるアクティビティがある場合、プラットフォームは 90 日間の履歴タイムラインも表示し、潜在的な感染時期の特定に役立ちます。
たとえば、帯域幅共有クライアントや怪しいアプリケーションのインストールが悪意あるスキャンに先行している場合、強い相関関係を見いだすことができ、対処行動につなげられます。
出典: GreyNoise
より技術的なユーザー向けには、GreyNoise は認証不要でレート制限のない JSON API も提供しており、curl 経由でアクセスしてスクリプトやチェックシステムに統合できます。
スキャン結果が「Malicious/Suspicious」と表示された場合は、同じネットワーク上のすべてのデバイスに対してマルウェアスキャンを実行することから調査を始めるとよいでしょう。特にルーターやスマートテレビなどのデバイスに重点を置いてください。
ユーザーには、デバイスを最新のファームウェアに更新し、管理者用の認証情報を変更し、不要であればリモートアクセス機能を無効にすることが推奨されています。
