urlscan.io 完全ガイド
使い方とOSINT活用法
怪しいURLを安全に「代理アクセス」して調べる無料サンドボックスの基本操作から、フィッシング調査・脅威ハンティングへの応用、そして安全に使うための注意点まで一気に解説します。
📋 目次
🌐 urlscan.ioとは?基本の使い方
「このリンク、クリックして大丈夫?」を自分の代わりに確認してくれる無料サービス
怪しいURLを自分でクリックせずに調べられる
urlscan.ioは、ドイツのurlscan GmbHが運営するウェブサイトスキャナーです。2017年にJohannes Gilger氏が開発したサービスで、送信されたURLに実際のブラウザ(Chromium)でアクセスし、その挙動を記録してくれます。自分のPCで直接アクセスする代わりに、urlscan.ioが「身代わり」になって安全に調査してくれるイメージです。セキュリティの専門家から、迷惑メールのリンク先が気になる一般ユーザーまで、幅広い人が使えるのが特徴です。
🔧 スキャンの仕組み(3ステップ)
👤 アカウントは任意
登録なしでもすぐ使えますが、登録すると検索回数の上限が増えたり、プライベートスキャンが使えたりと便利になります。
🔗 検索バーにURLを貼り付け
http:// や https:// を含む完全なURLを入力します。送信前に公開範囲(Public / Unlisted / Private)を選べます。
⏱️ スキャン実行(数十秒)
実際のブラウザがそのページにアクセスし、通信先・読み込んだリソース・Cookie・DOM内容などをすべて記録します。
📊 結果レポートを確認
スクリーンショット、通信先一覧、使用技術(CMSやアクセス解析ツールなど)、証明書情報、悪意のあるサイト判定(フィッシング対象ブランドの推定含む)が一覧表示されます。
無料プランの上限
登録すれば無料プランでもPublicスキャンが1日5,000件、Privateスキャンが1日50件まで使えます。個人の調査用途であれば十分な量です。
🔎 検索・ピボット機能を使いこなす
1件のスキャンから「関連する別のサイト」へ芋づる式に調査を広げる
urlscan.ioの本当の強みは「検索」にある
単発のスキャンだけでなく、urlscan.ioには過去に行われた何千万件のスキャン結果を検索できるエンジンが搭載されています。Elasticsearchのクエリ構文をベースにした検索演算子を使うことで、「同じドメインに接続しているサイト」「同じIPアドレスを使っている別のサイト」などを横断的に探し出せます。
📡 主な検索演算子
| 演算子 | 検索対象 | 使いどころ |
|---|---|---|
| domain: | スキャン中に接続したドメイン | 不審な通信先の他のスキャン事例を探す |
| page.domain: | スキャン対象ページ自体のドメイン | 特定ドメインの過去スキャン履歴を一覧化 |
| ip: | 接続先IPアドレス | 同一サーバーを使う複数サイトの発見 |
| page.title: | ページタイトルの文字列 | 特定キーワードを含むページの一括検索 |
※ 演算子は仕様変更される場合があるため、最新情報は公式ドキュメントを参照してください。
similar機能で類似サイトを発見
スキャン結果画面の「similar」をクリックすると、構造が似た別サイトを自動的にリストアップします。フィッシングサイトはツールで量産される傾向があるため、構造の似たサイト同士は同じ攻撃キャンペーンに属している可能性が高いです。
サブドメイン列挙・インフラピボット
特定ドメイン配下にあるすべてのホスト名(サブドメイン)を表示したり、悪意のあるインフラから関連ドメインへ調査を広げたりできます。攻撃面(アタックサーフェス)の把握にも応用できます。
ブラウザ拡張で調査をもっとスムーズに
“Mitaka” などの拡張機能を使うと、ページ上で右クリックするだけでURL・ドメイン・IPアドレスをurlscan.io含む複数の検索サービスへ一括で問い合わせできます。日常的に調査する人ほど効果を感じやすい工夫です。
🕵️ OSINT・脅威ハンティングへの応用
「公開情報からの調査(OSINT)」の分析・ピボット段階で活躍する定番ツール
誰が、どんな目的でurlscan.ioを使っているのか
OSINT(オープンソース・インテリジェンス)の世界では、urlscan.ioは「疑わしいリンクを安全に調べ、そこから関連インフラを掘り出す」段階で重宝されるツールとして紹介されています。立場によって使い方は少しずつ異なります。
🧑💻 SOCアナリスト
- セキュリティアラートで上がった不審URLの迅速分析
- Webインフラ全体への侵害指標の積極的な探索(脅威ハンティング)
- 報告されたフィッシング試行の詳細調査
🔬 インテリジェンス分析者
- 脅威アクターのインフラがどう変化していくかの追跡
- 異なる攻撃キャンペーン同士のつながりの特定
- 攻撃パターン・手口の傾向分析
🏢 組織・企業
- 自社ブランドを模倣したなりすましサイトの自動検出
- 受信メールのリンク先を社内で一次判定する運用
- インシデント対応時の証拠(スクリーンショット等)保全
🧪 ケーススタディ:フィッシングサイト調査の流れ
他のOSINTツールと組み合わせるとさらに強力
urlscan.ioで見つけたIPやドメインを、ホスティング情報やオープンポートを調べる「Shodan」、IoCを横断的に収集する「SpiderFoot」などに渡して深掘りする、というのが定番の調査フローです。ツール単体ではなく組み合わせて使うことで調査の精度が上がります。
⚠️ 安全に使うための注意点
「友好的・防御的」に使うためには公開範囲の管理が何より重要
🔐 3つの公開範囲モードの違い
| モード | 誰が見られるか | 向いている用途 |
|---|---|---|
| Public | 全ユーザーが閲覧・検索可能 | 公開済みの脅威情報を記録・共有したい場合 |
| Unlisted | 検索には出ないが結果URLを知っていれば閲覧可 | セキュリティコミュニティ内で限定共有したい場合 |
| Private | 基本的に提出した本人(チーム)のみ | 機微な情報を含むURLや社内調査全般 |
urlscan.ioのスキャンは対象サイト側からアクセスとして検知される可能性があります。また、調査権限のないURLを無断でスキャンすることは避け、組織や法律のガイドラインに従って利用しましょう。判定結果も完全ではないため、「危険サイトなのに何も表示されない」ケースもある点を踏まえ、過信せず複数の情報源と組み合わせて判断することが大切です。
Publicモードで送信されたスキャンは誰でも検索・閲覧できる状態になります。海外のセキュリティ研究で、パスワードリセットリンクやAPIキー、Dropbox・SharePointなどの共有リンクといった、本来公開すべきでない情報を含むURLが誤ってPublicスキャンされ、第三者に見えてしまっていた事例が報告されています。メールやSaaSのリンクをスキャンする際は、機微な情報を含む可能性があることを前提に、必ずPrivate(またはUnlisted)モードを選択してください。
JavaScriptが必要なサイトや認証付きサイトは注意
urlscan.ioは実ブラウザでアクセスしますが、ログイン認証が必要なページはスキャンできません。また地域制限のあるサイトや、時間・個人ごとに表示が変わる動的コンテンツは、再スキャンすると違う結果になることがあります。
🎯 まとめ:どんな人に向いているか
検索窓にURLを貼るだけで、誰でも本格的なセキュリティ調査の第一歩が踏める
一般ユーザー
怪しいメールのリンク先確認に
SOCアナリスト
アラート対応・脅威ハンティングに
OSINT調査者
インフラのピボット調査に
企業・組織
ブランドのなりすまし監視に
urlscan.ioは「URLを貼って結果を見るだけ」の手軽さと、「APIや検索演算子、similar機能を使った本格的な脅威ハンティング」という奥行きの両方を兼ね備えたツールです。基本のスキャンから始め、慣れてきたらsimilar機能やAPIでの自動化、他のOSINTツールとの連携にも挑戦してみると、調査の幅が大きく広がります。ただし公開範囲の設定と利用ガイドラインの遵守は必ず意識し、「攻撃側のツール」ではなく「自分や組織を守るための偵察ツール」として活用しましょう。
コメント