脅威インテリジェンスフィードは、散らばった脅威情報をセキュリティ判断につなげるための材料です。
悪性IPやドメインをブロックするだけのもの、と思われることもありますが、実際の使い道はもう少し広いです。SOCでのアラート調査、マルウェア分析、脆弱性対応の優先順位付け、フィッシング対策、漏えい認証情報の確認、外部公開資産の把握など、さまざまな場面で役に立ちます。
ただし、どのフィードも同じではありません。
IoCをすばやく取り込むためのフィードもあれば、攻撃者の手口を理解するためのフレームワーク、外部から見える資産を調べるための検索基盤、漏えいアカウントを確認するためのサービスもあります。
大切なのは、「有名なフィードを全部入れること」ではなく、自社の運用目的に合わせて使い分けることです。
TABLE OF CONTENTS
- 1 なぜ企業に脅威インテリジェンスフィードが必要なのか
- 2 企業向けフィードを選ぶときの見方
- 3 1. SOCRadar Threat Feeds
- 4 2. CISA Known Exploited Vulnerabilities Catalog
- 5 3. MITRE ATT&CK
- 6 4. Shodan
- 7 5. AlienVault Open Threat Exchange, OTX
- 8 6. VirusTotal Enterprise
- 9 7. MISP Threat Sharing
- 10 8. abuse.ch MalwareBazaar & URLhaus
- 11 9. Have I Been Pwned Enterprise API
- 12 10. CrowdSec CTI / Blocklists
- 13 10のフィードをどう使い分けるか
- 14 フィードを入れるだけでは守れない
- 15 脅威インテリジェンスは、判断の質を上げるために使う
なぜ企業に脅威インテリジェンスフィードが必要なのか
企業のセキュリティ運用では、毎日多くの情報が流れ込んできます。
EDR、SIEM、メールセキュリティ、WAF、ファイアウォール、クラウド監視、脆弱性診断、ASM、IAM。各ツールがアラートを出しますが、それだけでは「本当に危ないのか」「今すぐ対応すべきか」が分かりにくいことがあります。
脅威インテリジェンスフィードは、こうした判断を助けます。
- このIPアドレスは悪性活動に使われているのか
- このドメインはフィッシングやマルウェア配布に関係しているのか
- この脆弱性は実際に攻撃で悪用されているのか
- このマルウェアはどのキャンペーンや攻撃グループと関係があるのか
- 自社ドメインのメールアドレスが過去の漏えいに含まれているのか
- 外部から見える自社資産に危険な露出がないか
現代の攻撃では、認証情報の悪用、クラウド設定ミス、SaaSの露出、ランサムウェア、サプライチェーン侵害、外部公開資産の悪用が絡み合います。
そのため、脅威インテリジェンスは「何をブロックするか」だけでなく、「誰が狙っているのか」「どの手口が増えているのか」「どの露出が実際のリスクになりやすいのか」を見るために使うものになっています。
企業向けフィードを選ぶときの見方
強い脅威インテリジェンスフィードは、単なるIoCの羅列ではありません。
IP、ドメイン、URL、ハッシュといった技術的な指標に加えて、攻撃グループ、マルウェアファミリー、影響を受ける業界、攻撃手法、悪用状況、信頼度、観測時期などの文脈があるほど、運用に使いやすくなります。
| 確認したい観点 | 見るべきポイント |
|---|---|
| 鮮度 | 情報がどの頻度で更新されるか |
| 文脈 | IoCだけでなく、攻撃手法や関連キャンペーンが分かるか |
| 信頼度 | 誤検知や古い情報をどう扱っているか |
| 連携性 | SIEM、SOAR、EDR、FW、WAFなどに取り込めるか |
| 用途 | SOC、CTI、脆弱性管理、IAM、ASMのどこで使うか |
| 運用負荷 | 大量のアラートを増やすだけにならないか |
ここからは、企業の脅威インテリジェンス運用で使われる代表的なフィード・情報源を、用途別に見ていきます。
1. SOCRadar Threat Feeds
SOCRadar Threat Feedsは、悪性IP、ドメイン、URL、ハッシュなどの指標を提供し、検知、調査、ブロック、エンリッチメントに使える脅威インテリジェンスフィードです。
単純なオープンソースフィードと違い、指標に対して一定の文脈が付いている点が特徴です。たとえば、その指標がどのような攻撃キャンペーンや攻撃者の活動、あるいは外部公開資産のリスクと関連するのかを確認しやすくなります。
原文では、カテゴリ、評価、タグ、更新頻度などによるフィルタリング、My Pocket、My Collection、Allow List、Recommended Collectionといった管理機能にも触れられています。
企業にとって重要なのは、すべての指標を同じ重みで扱わないことです。悪性IPが一つ出たから即ブロック、ではなく、自社環境との関係、観測元、信頼度、影響範囲を見たうえで判断する必要があります。
向いている用途
- SOCでのアラート調査
- SIEMやSOARへのIoC連携
- 悪性IP・ドメイン・URLの監視
- 攻撃キャンペーンの文脈確認
- CTIチームによる脅威追跡
2. CISA Known Exploited Vulnerabilities Catalog
CISAのKnown Exploited Vulnerabilities Catalog、通称KEVは、脆弱性対応の優先順位付けに非常に使いやすい公開情報源です。
特徴は、すべてのCVEを並べるのではなく、実際に悪用が確認された脆弱性に絞っている点です。
CVSSスコアは、脆弱性の潜在的な深刻度を見るうえで役に立ちます。ただし、CVSSが高いから必ず今すぐ悪用されるとは限りません。逆に、スコアだけでは見落とされがちな脆弱性が、実際には攻撃で多用されていることもあります。
KEVは、「この脆弱性はすでに攻撃で使われているのか」という実務上かなり重要な問いに答える材料になります。
向いている用途
- 脆弱性対応の優先順位付け
- 外部公開資産の緊急確認
- パッチ適用計画の見直し
- 経営層へのリスク説明
- EPSSやベンダーアドバイザリとの併用
3. MITRE ATT&CK
MITRE ATT&CKは、厳密には通常のフィードではありません。
ただ、企業の脅威インテリジェンス運用では欠かせないフレームワークです。実際の攻撃で観測された攻撃者の戦術・技術・手順を体系化し、攻撃者がどのように侵入し、権限を広げ、情報を盗み、影響を与えるのかを理解するために使われます。
IPアドレスやハッシュのようなIoCは、短期間で変わります。一方で、認証情報の窃取、横展開、永続化、防御回避といった攻撃手法は長く使われます。
ATT&CKを使うと、単なる「このIPが怪しい」という見方から、「攻撃者はどの段階で何をしようとしているのか」という見方に近づけます。
向いている用途
- 攻撃者の手口の整理
- 検知ルールの設計
- 脅威ハンティング
- レッドチーム・ペネトレーションテスト後の整理
- セキュリティギャップ分析
- CTIレポートの構造化
4. Shodan
Shodanは、インターネットに接続された機器やサービスを検索できるサービスです。
脅威インテリジェンスフィードというより、外部露出を把握するための情報源として考えると分かりやすいです。
攻撃者は、自社の外から見えるサーバー、管理画面、データベース、VPN、リモートアクセス、IoT機器、産業制御系機器などを探します。Shodanは、防御側がそれと近い視点で「外部から何が見えているか」を確認するために使えます。
原文では、IBM X-Forceが公開アプリケーションの悪用を起点とする攻撃の増加に触れている点も紹介されています。実務上も、外部公開資産の把握はかなり重要です。
向いている用途
- 外部公開資産の確認
- 公開ポートやサービスの棚卸し
- 不要な管理画面の発見
- クラウド・オンプレ混在環境の露出確認
- ASMやEASMの補助情報
5. AlienVault Open Threat Exchange, OTX
AlienVault Open Threat Exchange、OTXは、コミュニティベースの脅威インテリジェンス共有プラットフォームです。
IP、ドメイン、URL、ハッシュ、CVE、ホスト名、メールアドレスなど、さまざまなIoCや脅威情報が共有されています。
特徴的なのが、Pulsesと呼ばれる単位です。Pulsesでは、特定の脅威やキャンペーンに関連するIoC、背景情報、関連ソフトウェア、攻撃手法などをまとめて確認できます。
OTXは広く情報を得られる一方で、コミュニティ由来の情報も含まれるため、すべてを自動でブロックに使うには注意が必要です。誤検知や古い情報の可能性もあるため、調査・エンリッチメント用途として使い、必要に応じて自社環境との関係を確認するのが現実的です。
向いている用途
- コミュニティ由来のIoC確認
- アラートのエンリッチメント
- マルウェアや攻撃インフラの調査
- CVEに関連する攻撃情報の確認
- Maltegoなどを使った関係性分析
6. VirusTotal Enterprise
VirusTotalは、疑わしいファイル、ハッシュ、URL、ドメイン、IPアドレスの調査で広く使われています。
エンタープライズ利用では、単なる評判確認だけでなく、より深い検索、過去データの確認、YARAルールを使った追跡、関連インフラの可視化などに使えます。
VirusTotal Intelligence、Livehunt、Retrohunt、VirusTotal Graphなどを活用すると、マルウェアサンプルや攻撃インフラ、関連キャンペーンのつながりを調べやすくなります。
SOCで受けたアラートに含まれるハッシュやURLを調べるだけでなく、同じ攻撃者が使う別のサンプルやドメインにピボットして調査できる点が強みです。
向いている用途
- マルウェア調査
- ファイルハッシュの確認
- URL・ドメイン・IPのエンリッチメント
- YARAルールによるハンティング
- 過去サンプルの調査
- 攻撃インフラの関係性分析
7. MISP Threat Sharing
MISP Threat Sharingは、脅威情報を収集、整理、相関、保存、共有するためのオープンソースプラットフォームです。
一つのフィードというより、複数の情報源を集約し、自社や信頼できるコミュニティ内で脅威情報を管理するハブに近い存在です。
IoCをタグ付けし、関連付け、信頼度を整理し、必要な相手に共有できます。成熟したCTIチームや、グループ会社・業界団体・CSIRT間で情報共有を行いたい組織には特に向いています。
ただし、MISPは入れればすぐに成果が出るというより、運用設計が重要です。どの情報を取り込むか、誰が評価するか、どの範囲に共有するかを決めておかないと、単なるIoC置き場になってしまいます。
向いている用途
- 脅威情報の集約管理
- IoCのタグ付けと相関分析
- 社内CTI運用
- 信頼できる組織間での情報共有
- CSIRT・SOC間の連携
8. abuse.ch MalwareBazaar & URLhaus
abuse.chは、マルウェアやボットネットに関する複数の脅威情報プロジェクトを提供しています。
その中でも、MalwareBazaarとURLhausは企業のSOCやマルウェア分析で使いやすい情報源です。
MalwareBazaarは、マルウェアサンプルやファイル指標に焦点を当てています。ハッシュ、タグ、マルウェアファミリー、投稿者情報などを確認でき、疑わしいファイルの調査や新しいマルウェアの追跡に使えます。
URLhausは、マルウェア配布に使われる悪性URLに焦点を当てています。メールセキュリティ、Webプロキシ、DNSフィルタリング、インシデント調査で役立ちます。
簡単に言えば、MalwareBazaarは「マルウェアそのもの」を見るための情報源で、URLhausは「そのマルウェアがどこから配られているか」を見るための情報源です。
向いている用途
- マルウェアハッシュの確認
- 悪性URLの監視
- メール・Web経由の感染経路調査
- マルウェアファミリーの追跡
- SOCアラートのエンリッチメント
9. Have I Been Pwned Enterprise API
Have I Been Pwned、HIBPは、過去のデータ侵害に含まれるメールアドレスやパスワード露出を確認するためのサービスとしてよく知られています。
Enterprise APIを使うと、確認済みドメインに紐づく侵害済みアカウントの確認、個別アカウントの照会、侵害情報の取得などを自動化できます。
これは、典型的な悪性IPフィードとは少し違います。どちらかというと、IDリスクや認証情報露出を把握するためのインテリジェンスです。
企業では、漏えいしたメールアドレスや認証情報が、フィッシング、クレデンシャルスタッフィング、アカウント乗っ取りの入口になります。特に、同じパスワードを複数サービスで使い回している場合、過去の漏えいが現在の侵害につながることがあります。
向いている用途
- 自社ドメインの漏えいアカウント確認
- パスワードリセット運用
- IAM・ID管理との連携
- 従業員のセキュリティ教育
- クレデンシャルスタッフィング対策
- 入退社時のアカウントリスク確認
10. CrowdSec CTI / Blocklists
CrowdSecは、コミュニティから集まる観測情報をもとに、悪性IPの評判情報やブロックリストを提供する仕組みです。
ブルートフォース、スキャン、悪用試行、不審なアクセスなど、参加環境で観測された攻撃的な挙動をもとに、実務的なブロックやエンリッチメントに使えます。
従来のキュレーション型フィードと比べると、コミュニティ規模の観測情報を活用できる点が特徴です。
ただし、企業環境でブロックリストを使う場合は注意も必要です。業務上必要な通信や、共有IP、クラウドサービス由来のアクセスを誤って止めると、影響が出ることがあります。
そのため、CrowdSecの情報は、ファイアウォール、WAF、SIEM、インフラ保護の一つのレイヤーとして使い、自社の通信状況と照らして判断するのが現実的です。
向いている用途
- 悪性IPレピュテーションの確認
- ブルートフォース攻撃の防御
- スキャン活動のブロック
- WAF・FW・SIEMのエンリッチメント
- インフラ防御の補助レイヤー
10のフィードをどう使い分けるか
脅威インテリジェンスフィードは、役割ごとに見ると整理しやすくなります。
| 目的 | 向いている情報源 |
|---|---|
| 悪性IP・ドメイン・URLの検知 | SOCRadar、OTX、CrowdSec、URLhaus |
| 脆弱性対応の優先順位付け | CISA KEV、EPSS、ベンダーアドバイザリ、自社資産情報 |
| 攻撃者の手口理解 | MITRE ATT&CK、CTIレポート、キャンペーン分析 |
| 外部公開資産の把握 | Shodan、ASM/EASM、クラウド資産管理 |
| マルウェア調査 | VirusTotal Enterprise、MalwareBazaar、URLhaus |
| 脅威情報の共有・管理 | MISP、社内CTI基盤、業界ISAC |
| ID・認証情報リスク | Have I Been Pwned Enterprise API、ダークウェブ監視、IAM連携 |
一つのフィードですべてをまかなうのは難しいです。
SOCは即時性のあるIoCを必要とします。脆弱性管理チームは実際に悪用されているCVEを知りたいはずです。CTIチームは攻撃者の文脈を見ます。ID管理チームは漏えいアカウントを見ます。ASMチームは外部から見える資産を確認します。
同じ「脅威インテリジェンス」という言葉でも、必要な情報はチームによって違います。
フィードを入れるだけでは守れない
脅威インテリジェンスフィードを導入すると、情報量は増えます。
ただし、情報量が増えることと、防御力が上がることは同じではありません。
重要なのは、フィードを日々の運用に落とし込むことです。
- どのフィードを、どのツールに取り込むのか
- 自動ブロックする情報と、調査用に使う情報を分けているか
- 古いIoCをどう扱うのか
- 誤検知が出たときの解除手順はあるか
- 脆弱性対応の優先順位に反映できているか
- 経営層や他部門に説明できる文脈まで整理できているか
フィードは、入れて終わりではありません。運用設計があって初めて効果が出ます。
脅威インテリジェンスは、判断の質を上げるために使う
脅威インテリジェンスフィードは、企業のセキュリティ運用を助ける強力な材料です。
ただし、万能ではありません。
悪性IPを取り込むだけでは、攻撃者の意図は見えません。CVSSだけでは、実際に悪用されているか分かりません。漏えいアカウントを見つけても、ID管理やMFAが弱ければ被害を止めきれません。外部公開資産を見つけても、誰が直すのかが決まっていなければリスクは残ります。
現場で大事なのは、フィードを「判断の材料」として使うことです。
どのアラートを優先するか。どの脆弱性を先に直すか。どのアカウントを調査するか。どの外部公開資産を閉じるか。どの攻撃手法に対して検知を強めるか。
その判断を速く、正確にするために脅威インテリジェンスがあります。
たくさんの情報を集めるより、自社のリスクに結びつけて使える状態にすることが大切です。まずは、SOC、脆弱性管理、ID管理、ASMのどこで何の情報が足りていないかを見直すところから始めるのが現実的です。
投稿者プロフィール
-
Offensive Security Engineer
15年以上の実績を持つ国際的なホワイトハッカーで、日本を拠点に活動しています。「レッドチーム」分野に精通し、脆弱性診断や模擬攻撃の設計を多数手がけてきました。現在はCyberCrewの主要メンバーとして、サイバー攻撃の対応やセキュリティ教育を通じ、企業の安全なIT環境構築を支援しています。
主な保有資格:
● Certified Red Team Specialist(CyberWarFare Labs / EC-Council)
● CEH Master(EC-Council)
● OffSec Penetration Tester(Offensive Security)
