WHOIS IP検索ツールの使い方
1
入力欄に任意のIPアドレスを入力してください。例えば 8.8.8.8 IPv4 アドレスの場合、または 2001:4860:4860::8888 IPv6アドレスに対して。
2
「WHOIS IP検索」をクリックするか、Enterキーを押してください。このツールは、そのIPブロックを管轄する地域インターネットレジストリ(RIR)から、最新のRDAPレジストリデータを取得します。
3
結果を確認してください。IPブロックの所有組織、ISP、ASN、国、CIDR表記によるネットワーク範囲、および登録されているアブユース連絡先です。
4
必要に応じて、検索結果の下部にある「View Raw RDAP Data」を展開すると、そのIPネットワークオブジェクトに関する機械可読形式のレジストリレコード全体を確認できます。
WHOIS IP検索結果の理解
地域インターネットレジストリに登録されている、このIPアドレスまたはIPアドレスブロックの割り当てを保有する企業または組織。クラウドやホスティングのIPアドレスについては、通常、エンドユーザーではなくプロバイダーがこれに該当します。
単一のルーティングポリシーに基づくネットワークを識別する自律システム番号(ASN)。ASNは、主要なインターネット事業者、ホスティングプロバイダー、クラウドプラットフォームを特定するために使用されます。ARINから割り当てられたIPアドレスで利用可能です。
RIRの割り当て記録に基づいて、このIPアドレスに関連付けられている国です。なお、レジストリデータに基づく地理的位置情報は、IPブロックが割り当てられた場所を示すものであり、クラウドやCDNのIPアドレスについては、物理的なサーバーの所在地と一致しない場合があります。
このIPアドレスが属するIPアドレスブロックの全体を、CIDR表記で示します。割り当てサイズおよび同一ネットワーク内のアドレスの全範囲が表示されます。/24には256個のIPアドレスが含まれ、/16には65,536個のIPアドレスが含まれます。
このIPブロックを管轄する地域インターネットレジストリは、ARIN(北米)、RIPE NCC(欧州・中東)、APNIC(アジア太平洋)、LACNIC(ラテンアメリカ)、またはAFRINIC(アフリカ)です。各レジストリは独自のWHOISデータベースを管理しています。
このIPアドレスまたはネットワークブロックから発信される不正利用、スパム、または悪意のある行為を報告するための登録メールアドレスです。IPアドレスが攻撃やスパムキャンペーンに利用されている場合、この連絡先へ不正利用報告を送信することが、適切な最初の対応となります。
WHOIS IP検索とは何ですか?
WHOIS IP検索とは、インターネットの地域インターネットレジストリ(RIR)システムから、IPアドレスの登録情報や所有者情報を取得する照会です。インターネット上のすべてのパブリックルーティング可能なIPアドレスは、5つのRIRのいずれかによって割り当てられており、各RIRは特定の地理的地域を担当しています。WHOIS IP検索では、最新のRDAPプロトコルを使用してこれらのレジストリに照会を行い、指定されたIPアドレスに関連付けられた組織名、ネットワークの詳細、および連絡先情報を返します。
ドメインのWHOIS検索(ドメイン名のレジストラや所有者情報を返すもの)とは異なり、IPのWHOIS検索はネットワーク層に焦点を当てています。具体的には、どの組織がIPブロックを管理しているか、どのネットワークに属しているか、どの自律システム(AS)がルーティングを行っているか、そして登録されているアブユース連絡先がどこであるかといった情報を提供します。このため、メールセキュリティ、脅威インテリジェンス、およびネットワーク運用において不可欠なツールとなっています。
両方のIPv4アドレス(例: 8.8.8.8) および IPv6 アドレス(例: 2001:4860:4860::8888) が完全にサポートされています。
WHOIS IP検索データで何ができますか?
不審な送信者を調査するDMARCレポートに表示される不明なメール送信IPの背後にいるネットワーク所有者を特定する
不正利用やスパムの報告IPブロックの登録された不正利用連絡先を検索し、直接不正利用報告を送信する
脅威インテリジェンス攻撃者、スパマー、および悪意のあるキャンペーンが利用しているホスティングプロバイダーやASNを特定する
メールの配信状況確認キャンペーンを開始する前に、送信元IPの背後にあるISP、組織、およびネットワークを確認してください
位置情報の確認コンプライアンスおよびアクセス制御の決定のために、IPアドレスの割り当て先となる国およびRIR地域を確認する
ネットワークインフラのマッピング特定の組織またはクラウドプロバイダーに属するASNおよびIPブロックをマッピングする
なぜWHOIS IP検索が必要なのでしょうか?
WHOIS IP検索データは、メールセキュリティ、脅威の調査、ネットワーク運用において極めて重要です。ここでは、誰が、どのような目的でこのデータを利用しているのかをご紹介します。
メールセキュリティチーム
DMARCの集計レポートで不正な送信IPが検出されると、WHOISによるIP検索を行うことで、そのIPがどのISPやホスティングプロバイダーに属しているかが即座に判明します。これにより、チームはそれが悪用されているクラウドプロバイダーなのか、住宅用プロキシなのか、あるいはスパム送信に利用されている「バレットプルーフ・ホスト」なのかを判断するのに役立ちます。
SOCアナリストおよびインシデント対応担当者
インシデント対応において、WHOISによるIP検索は初期のトリアージ手順の一つです。不審なIPのASN、組織名、およびアブーズ担当者の連絡先を把握することで、アナリストは、そのトラフィックが既知の脅威アクターのインフラから発信されているものか、あるいは新たに用意された攻撃用サーバーから発信されているものかを迅速に判断することができます。
IT管理者およびMSP
システム管理者は、WHOISによるIP検索を利用して、送信メールサーバーが正しい組織名で登録されていることを確認したり、IPアドレスの割り当てが想定されるプロバイダーと一致しているかを確認したり、送信レピュテーションの低い共有IPブロックが原因で発生する配信トラブルのトラブルシューティングを行ったりします。
ネットワークエンジニアおよびセキュリティ研究者
ネットワークエンジニアは、WHOISによるIP検索を利用して、IPアドレスの割り当て状況を把握したり、BGPルートの発信元を確認したり、自律システム(AS)の所有者を調査したりします。セキュリティ研究者は、複数のIPアドレス範囲にまたがる組織的な攻撃キャンペーンで使用されるインフラストラクチャのクラスターを追跡するために、この手法を活用しています。
WHOIS IP検索とメールセキュリティ
すべてのメールはIPアドレスを経由して送信されます。そして、そのIPアドレスの所有者情報、ネットワーク履歴、およびレピュテーションは、メッセージが受信トレイに届くかどうかに直接影響します。
不正な送信者の特定
DMARCの集計レポートには、ドメインからメールを送信しているすべてのIPアドレスが表示されます。認識できないIPアドレスについてWHOIS検索を行うことで、そのIPが既知のメール配信事業者(ESP)やクラウドプロバイダーのものか、あるいは予期せぬものなのかを即座に確認できます。これは、なりすましや設定ミスのある送信元を特定するための第一歩となります。
ブラックリストに関する問題の診断
送信元のIPアドレスがブラックリストに登録されている場合、WHOISによるIP検索を行うことで、そのIPアドレスが他の送信者と共有ブロックにあるかどうかを確認できます。ネットワーク範囲やISPを把握することで、問題が特定のIPアドレスに限られているのか、それとも割り当てられたブロック全体に影響しているのかを判断でき、解決のために誰に連絡すべきかも明確になります。
SPF送信元の検証
SPFレコードは、特定のIPアドレスがお客様のドメインに代わってメールを送信することを許可するものです。SPFレコードに記載されたIPアドレスについてWHOISでIP検索を行うことで、そのIPアドレスが想定通りの組織に属しているかどうかを確認できます。これにより、廃止されたサービスや所有者が変更されたIPアドレスなど、古くなったエントリを特定するのに役立ちます。
DMARCの適用を支援する
DMARCの拒否または隔離ポリシーに移行する前に、すべての正当な送信IPアドレスを把握しておく必要があります。WHOISによるIP検索は、DMARCレポートに記載される各IPアドレスの所有権を確認・記録するのに役立ちます。これは、正当なメールをブロックすることなくポリシーを完全に適用するための重要なステップです。
