【NW技術】whoisコマンドの基本的な使い方とアクセス元の特定方法

NW技術

今回は、インフラエンジニアやセキュリティ担当者が日常業務で頻繁に使用するwhois情報の調査方法について、実践的な観点から詳しく解説します。
特に、ファイアウォールの穴あけ作業や不正アクセス対応時のシャットダウン処理で威力を発揮するコマンドの使い方を中心に、段階的にご紹介していきます。

whois情報とは?セキュリティ業務での重要性

whois情報は、IPアドレスやドメイン名の登録者情報を照会できるデータベースサービスです。インターネット上で発生するセキュリティインシデントの調査や、外部との通信許可申請時の事前調査において、極めて重要な情報源となります。

セキュリティ業務においては、以下のようなシーンでwhois情報が活用されます:

  • 不正アクセス元の特定: 攻撃元IPアドレスの所有者や地理的位置の確認
  • ファイアウォール設定の事前調査: 通信許可するIPレンジの妥当性確認
  • フィッシングサイト対応: 不審なドメインの登録者情報や登録日の確認
  • インシデント対応: 関連する組織や連絡先の特定

基本的なwhoisコマンドの使い方

1. 基本構文とオプション

最も基本的なwhoisコマンドの構文は以下の通りです:

whois [オプション] [IPアドレス|ドメイン名]

主要なオプション:

  • -h サーバー名: 特定のwhoisサーバーを指定
  • -p ポート番号: 非標準ポートを使用する場合
  • -v: 詳細情報を表示(verboseモード)

2. IPアドレスの調査実例

実際のIPアドレス「8.8.8.8」を例に、whois情報を取得してみましょう:

whois 8.8.8.8

この結果では以下の重要な情報が取得できます:

  • NetRange: IPアドレスの割り当て範囲(8.8.8.0 – 8.8.8.255)
  • Organization: 所有組織(Google LLC)
  • Country: 国コード(US)
  • RegDate: 登録日
  • Updated: 最終更新日

3. ドメイン名の調査実例

ドメイン名「example.com」を調査する場合:

whois example.com

取得される主要情報:

  • Registrar: ドメイン登録業者
  • Creation Date: ドメイン作成日
  • Expiration Date: 有効期限
  • Name Servers: 権威DNSサーバー
  • Registrant: 登録者情報(プライバシー保護により制限される場合あり)

whois情報の詳細解説と読み方

IPアドレス情報の重要項目

NetRange(ネットワーク範囲) 調査対象IPアドレスが属するネットワーク範囲を示します。ファイアウォール設定時に、個別IPではなくネットワーク単位でのアクセス制御を検討する際に重要です。

OrgAbuseEmail(滥用報告先メール) セキュリティインシデント発生時の報告先です。不正アクセスや攻撃の発信元となっている場合、この宛先に状況報告を行います。

CIDR(サイダー記法) ネットワークアドレスをスラッシュ記法で表現したものです(例:8.8.8.0/24)。ファイアウォールルール設定時に、このCIDR表記をそのまま使用できます。

ドメイン情報の注意点

プライバシー保護サービス 近年、多くのドメインでプライバシー保護サービスが利用されており、実際の登録者情報が隠匿されている場合があります。この場合、「Whois Privacy Protection Service」などの表記が確認できます。

DNSSECステータス セキュリティを重視するドメインでは、DNSSEC(DNS Security Extensions)が有効になっている場合があります。この情報も通信の信頼性判断の参考になります。

複数ツールの使い分けとベストプラクティス

whois vs dig vs nslookup の使い分け

whois: 登録者情報・組織情報の取得

whois google.com

dig: DNS情報の詳細調査

dig google.com A +short
dig google.com MX

nslookup: 基本的なDNS解決確認

nslookup google.com

実践的な調査フロー

不正アクセス対応時の効率的な調査手順:

  1. IPアドレスの基本情報取得
whois [攻撃元IP]
  1. 逆引きDNS確認
dig -x [攻撃元IP]
  1. 関連ネットワークの確認
whois [ネットワークレンジ]
  1. 地理的位置の確認(必要に応じて)
geoiplookup [攻撃元IP]

ファイアウォール設定への活用方法

whois調査結果をファイアウォール設定に活用する際のポイント:

信頼できる組織の判断基準

  • 大手クラウドプロバイダー(AWS、Google、Microsoftなど)
  • 知名度の高い企業や組織
  • 長期間にわたってドメイン・IPを保持している組織

アクセス許可の粒度決定

  • 単一IPでの許可が適切か
  • ネットワーク範囲での許可が必要か
  • 定期的な見直しが必要な範囲か

まとめ

whois情報の効率的な活用により、セキュリティインシデント対応の迅速化とファイアウォール設定の精度向上が実現できます。特に、複数ツールを組み合わせた段階的な調査アプローチにより、より確実で効果的なセキュリティ対策を実現できるでしょう。

日常業務では、これらのコマンドを組み合わせたシェルスクリプトの作成や、調査結果の記録・共有体制の整備も重要です。継続的なスキル向上により、より高度なインフラセキュリティを実現していきましょう。

【注意】

このブログは技術に関する知識や経験を共有することを目的としており、情報の正確性に努めていますが、その内容の正確性や完全性を保証するものではありません。ブログの情報を利用する場合は、自己の責任において行動してください。ブログの内容に基づいて行った行動や決定によって生じた損害や被害について、筆者は一切の責任を負いません。

 

記事の内容の一部は、生成AIで作成しています。

NW技術ITナレッジ
トラブルシュートNetworkwhoisドメイン
この記事の作者
StarTeller

30歳で異業種からITエンジニアへ転身し、10年以上にわたりインフラエンジニアとして様々な現場でシステム構築・運用に携わってきました。
得意分野はLinux/Windowsのサーバー構築・運用で、ネットワークやAWSなども実務で活用しています。このブログでは、これまでの業務で培った経験を基に、日々の業務で遭遇した問題の解決方法や、システム構築の具体的な手順を解説。現場のエンジニアが実際に「困ったとき」に参照できる情報を意識して投稿していこうと思っています。
※サーバ運用費がかかっているので、広告を掲載させて頂いてます。

StarTellerをフォローする
シェアする
StarTellerをフォローする
StarTeller

コメント

タイトルとURLをコピーしました