コンテンツにスキップ

2. 検索

このステップでは、Research Tool を使ってダークウェブの検索を行います。

Research Tool を使った検索

1.Research Tools の検索ウィンドウに検索したいキーワードを入力します。ここでは自社名の例として mandiant を入力して実行します。

image-20250311212804712

2.しばらく待つと結果が表示されます。検索結果は200件あることが確認できます。また、本日 Webサイト上 (Web Content) に "Mandiant" に言及されたポストがあったようです。言語はロシア語、ドメインは .ru となっています。

image-20250311212926782

3.項目をクリックすると、詳細が表示されます。Source Information の項目で、作成日時やURL、このページのタイトルが確認できます。

Memo

情報は常に更新されるため、検索結果が異なる場合があります。その場合は、検索結果の1つを選択してください。

image-20250311214708009

4.画面下のContent 項目で、Mandiant が言及された場所を確認できます。画面左側のMatched in Contentmandiant を選択すると、右側に表示されたページ本文の内容から該当箇所がハイライトされます。(タイトル名から、このサイトはAkiraランサムウェアについての情報のようです)

image-20250311214923616

Check

その他にも、ドメイン名や、攻撃者グループの名前、脅威名(ランサムウェア名など)で簡単に該当箇所をハイライトできます。

5.一般的なWebサイトではなく、フォーラムサイトやペーストサイトやなど、サイバー攻撃で利用される特定用途のサイトにしぼって検索を行います。画面左側の Filters 画面から Collection TypeForum PostsPates を選択した後、検索キーワード Mandiantで検索します。

image-20250311215809066

6.検索結果をクリックすると、同様に詳細が確認できます。ここでは、あるフォーラムサイトで Mandiant の言及が昨日行われたようです。

image-20250311220101499

7.さらに条件をしぼって、「Mandiant社のメールアドレス」を対象に検索します。検索画面にもどり、左側の Filters 画面から Collection TypeDocuments を選択した後、検索キーワード email_address:/(.*)@mandiant.com/ で検索します。

image-20250311221146577

8.検索結果をクリックすると、同様に詳細が確認できます。20日前に、 Mandiant社のメールアドレスが記載されたドキュメントがあるサイトで公開されたようです。

image-20250311221320637

Check

DTM は単純に文字列をデータベースに保存しているのではなく、内容を分析して情報を格納しています。これにより、メールアドレスなどの情報にしぼった検索をサポートしています。

9.Research Tool を使ったダークウェブの検索方法を確認しました。ここですこし時間をとって、自社に関連するキーワードで検索をためしてみてください。

Check

DTM には手動の検索だけではなく、継続的な監視機能(モニタ機能)もあります。事前に検索キーワードや検索対象を指定しておけば、DTMデータベースに登録された時点でアラート通知を行い、内容を確認することができます。

10.まとめ に移動します。