はじめに

セキュリティ運用やインシデント対応の現場では、「どの脅威情報（Threat Intelligence）をどこから収集するか」が非常に重要になります。

近年は、OSINT（公開脅威情報）を活用した検知や相関分析が一般的になりつつあり、 その収集基盤として MISP（Malware Information Sharing Platform） を導入・検討するケースも増えています。

私自身も、脅威情報の収集や分析について調べる中で MISP に触れる機会がありました。
その際に感じたのが、「MISPで取得できる脅威情報の種類が意外と分かりづらい」という点でした。

MISPには「フィード（Feed）」という機能があり、外部で公開されている脅威情報（IoC）を自動で取り込むことができます。

しかし、デフォルトで用意されているフィードは数も多く、「どのフィードでどのような脅威情報が取得できるのか」 が一覧的に把握しづらいと感じました。

そこで本記事では、

• MISPのデフォルトフィードではどのような情報が収集できるのか？
• フィードを大まかなカテゴリに分けるとどう整理できるのか
• 運用の観点で特に使いやすいフィードはどれか

といった点を、ざっくりと整理してまとめてみました。
MISPの導入を検討している方や、「どのフィードを使えばいいのかイメージが湧かない」という方の参考になれば嬉しいです。

INDEX

はじめに

MISPとは？　脅威インテリジェンスを共有するOSSプラットフォーム

MISPのフィード機能とは？　外部の脅威情報（IoC）を自動収集する仕組み

MISPのデフォルトフィード一覧｜収集できる脅威情報のカテゴリ
┗ OSINT系フィード：ドメイン・IP・URLなど複数のIoCを収集
┗ フィッシング対策フィード：フィッシングサイトのIoCを収集
┗ マルウェア配布URLフィード：マルウェア配布サイトや通信先URLを収集
┗ マルウェアハッシュフィード：MD5 / SHA256などのファイルハッシュを収集
┗ C2・攻撃インフラフィード：C2サーバやDGAドメインなどのIoCを収集
┗ 悪性IPフィード：悪性IPアドレスのブロックリストを収集
┗ ハニーポット観測フィード：ハニーポットで観測された攻撃元IPを収集
┗ 新規登録ドメイン（NRD）フィード：新規登録ドメインを監視
┗ SSL/TLSフィード：証明書・TLSフィンガープリントのIoCを収集
┗ 脆弱性・Exploitフィード：CVEやExploit情報を収集
┗ Tor・匿名通信フィード：Torノードなど匿名通信関連のIoCを収集
┗ 暗号資産関連フィード：クリプトジャッキングやマイニングIoCを収集
┗ 地域特化フィード：CERTや地域ブロックリストの脅威情報

まとめ
┗参考サイト一覧

関連するサービス

MISPとは？　脅威インテリジェンスを共有するOSSプラットフォーム

MISPは、脅威インテリジェンス（Threat Intelligence）を収集・共有するための代表的なOSSプラットフォームです。
フィード機能を利用すると、外部で公開されている脅威情報（IoC）を自動で取り込むことができます。ざっくり言うと、いろいろな脅威情報を閲覧・配布することができる、ということです。

なお、本ブログでは運用面ではなく、実際にMISPで取得できる脅威情報に焦点を当て、カテゴリ別に整理して紹介します。

MISPのフィード機能とは？　外部の脅威情報（IoC）を自動収集する仕組み

MISPには「フィード（FEED）」という機能が用意されており、これを利用することで、外部で公開されている脅威情報（IoC）を自動で取り込むことができます。
MISPでは、デフォルトフィードとして執筆時点で約80のフィードが用意されています。
しかし、これらのデフォルトフィードでどのような脅威情報を収集できるか、わかりにくいものになっています。
そこで、デフォルトフィード毎にどのような脅威情報を提供できるのか、個人的にまとめてみました。

※本記事内容に関する出典・参考
　MISP Threat Sharing　：MISP デフォルトフィード

MISPのデフォルトフィード一覧｜収集できる脅威情報のカテゴリ

今回、デフォルトフィードを大まかにカテゴリ分けし、カテゴリの中でも特におすすめのフィードをピックアップしてみました。

OSINT系フィード：ドメイン・IP・URLなど複数のIoCを収集

ドメイン／IP／URL／ハッシュ／メールなど“複数種類のIoC”をまとめて入手できるフィード群です。

1. CIRCL OSINT Feed
2. The Botvrij.eu Data
3. DigitalSide Threat-Intel OSINT Feed
4. Threatfox
5. threatfox indicators of compromise
6. Infoblox-Threat-Intelligence
7. Threatview.io - OSINT Threat Feed

フィッシング対策フィード：フィッシングサイトのIoCを収集

フィッシングURLや詐欺サイトに関連するIoCを扱うデフォルトフィード群です。

1. OpenPhish url list
2. Phishtank online valid phishing
3. PhishScore

マルウェア配布URLフィード：マルウェア配布サイトや通信先URLを収集

マルウェア感染や通信の兆候に使えるIoC（URL/ドメイン/IP/ハッシュなど）を提供しているフィード群です。

1. VXvault - URL List
2. URLHaus Malware URLs
3. malsilo.url
4. malsilo.ipv4
5. malsilo.domain
6. URLhaus（MISP形式）
7. Threatview.io - Domain Blocklist
8. Threatview.io - URL Blocklist
9. cybercrime-tracker.net - all

マルウェアハッシュフィード：MD5 / SHA256などのファイルハッシュを収集

悪性ファイルのハッシュ（MD5/SHA256等）や、サンプル情報（ファイル名、タグ、ファミリー名）が中心のフィード群です。

1. http://cybercrime-tracker.net Hashlist
2. CyberCure - Hash Feed
3. malshare.com - current all
4. Malware Bazaar
5. MalwareBazaar（MISP形式）
6. List of malicious hashes（Banco do Brasil S.A）
7. Threatview.io - MD5 Hash Blocklist
8. Threatview.io - SHA File Hash Blocklist

C2・攻撃インフラフィード：C2サーバやDGAドメインなどのIoCを収集

C2（コマンド＆コントロール）サーバや管理パネル、DGA（Domain Generation Algorithm）由来のドメイン群など、“攻撃インフラに関連する IoC” を集めるフィードです。

これらは、マルウェア感染後の外向き通信の検出・遮断、C2接続ブロック、キャンペーン追跡、インフラのクラスタリングなどに役立ちます。

1. diamondfox_panels
2. Feodo IP Blocklist
3. IPs from High-Confidence DGA-Based C&Cs Actively Resolving (ライセンス制)
4. Domains from High-Confidence DGA-based C&C Domains Actively Resolving (ライセンス制)
5. All current domains belonging to known malicious DGAs
6. http://cybercrime-tracker.net gatelist
7. Panels Tracker
8. Threatview.io - C2 Hunt Feed

悪性IPフィード：悪性IPアドレスのブロックリストを収集

攻撃に使われた可能性が高いIPアドレス情報を集約したフィード群です。

FW/IDS の入出口で雑音を落とす、認証ログの危険度加点（スコアリング）や SIEM／EDR でのトリアージに向きます。

1. blockrules of rules.emergingthreats.net
2. ip-block-list - snort.org
3. ELLIO: IP Feed (Community version)
4. firehol_level1
5. ci-badguys.txt
6. alienvault reputation generic
7. blocklist.greensnow.co
8. CyberCure - IP Feed
9. CyberCure - Blocked URL Feed
10. ipspamlist
11. IPsum (levels 1〜8)
12. Threatview.io - IP Blocklist
13. blocklist.de/lists/all.txt
14. mirai.security.gives

ハニーポット観測フィード：ハニーポットで観測された攻撃元IPを収集

ハニーポットや観測網で“実際に観測された”攻撃元IP、到達URL、プロトコル別の不審挙動（SSH/Telnet/SIP/DNS/SMTPなど）を取り込めるカテゴリです。

速報性と現場感が強く、スキャンの流行把握／境界防御の補助／アラート優先度付けに向きます。

1. URL Seen in honeypots
2. SSH Bruteforce IPs
3. Telnet Bruteforce IPs
4. VNC RFB
5. sshpwauth.txt
6. TELNET login
7. sipregistration / sipquery / sipinvitation
8. DNS recursion desired / DNS recursion desired IN ANY / DNS CH TXT version.bind
9. SMTP data / SMTP greet
10. IP protocol 41

新規登録ドメイン（NRD）フィード：新規登録ドメインを監視

直近に登録されたドメインのリストです。
ここに載っているからといって「悪性確定」ではありませんが、攻撃者が使い捨て目的で新規ドメインを取ることが多いので、“要注意素材”として監視・相関に使うのが基本戦略です。

1. Shreshta: Newly Registered domain names(NRD) - 1 week (Community policy feed)
2. Shreshta: Newly Registered domain names (NRD) - 1 month (Community policy feed)

SSL/TLSフィード：証明書・TLSフィンガープリントのIoCを収集

悪性通信で使われる証明書やTLS指標（証明書フィンガープリント、JA3など）と、それに紐づくIP/ドメインを扱うカテゴリです。
暗号化通信の中身が見えない環境でも、TLSの“特徴”でC2や悪性通信を当てやすく、プロキシ／IDS／ログ相関で強みが出ます。

1. abuse.ch SSL IPBL

脆弱性・Exploitフィード：CVEやExploit情報を収集

悪用される脆弱性情報（CVE）や、PoC/Exploitフレームワーク（Metasploit等）に載っている“武器化済み”指標を扱うカテゴリです。
脆弱性管理の優先順位付け（パッチ優先度）、検知ルール強化、攻撃トレンド把握に使います。

1. Metasploit exploits with CVE assigned（eCrimeLabs）

Tor・匿名通信フィード：Torノードなど匿名通信関連のIoCを収集

Torネットワークの出口ノード（Exit Node）や匿名通信に関連するIPアドレスなどのIoCを収集するフィードです。Torは匿名性を高める通信手段として正当な用途もありますが、攻撃者がC2通信や不正アクセスの踏み台として利用するケースも多く報告されています。

そのため、TorノードのIPアドレス情報を把握しておくことで、ログ分析や不審な通信の調査、アクセス制御などに活用することができます。

1. Tor exit nodes（TOR Node List from dan.me.uk）
2. Tor ALL nodes（TOR Node List from dan.me.uk）

暗号資産関連フィード：クリプトジャッキングやマイニングIoCを収集

暗号資産に紐づくIoC（マイニング関連ドメイン、クリプトジャッキング、悪性ウォレット等）を扱うカテゴリです。

クリプトジャッキング対策、ランサム対応（支払いアドレス照合）、詐欺・資金洗浄調査の糸口として活用できます。

1. This list contains all domains - A list for administrators to prevent mining in networks
2. This list contains all optional domains - An additional list for administrators
3. This list contains all browser mining domains - A list to prevent browser mining only
4. Threatview.io - Bitcoin Address Intel

地域特化の脅威情報フィード（CERT・地域ブロックリスト）

特定の国・地域のCERTや組織が運用するブロックリスト／警告リスト（ローカルで流行するフィッシング等）を扱うカテゴリです。
対象地域に拠点や顧客がある場合、言語・手口・流行を反映したデータとして効きやすいのが特徴です。
※日本国内中心の運用だと優先度は低めですが、海外拠点/顧客がある場合は便利かもしれません。

1. List of malicious domains in Poland

まとめ

日本語でMISPのフィードを体系的に紹介している情報は多くないため、本記事では代表的なフィードをカテゴリごとに整理して紹介しました。

実際の運用では、すべてのフィードを有効化するのではなく、組織の環境やログ基盤、セキュリティ運用の目的に合わせて取捨選択することが重要です。フィードの種類や特徴を理解したうえで、自社や組織の環境に適したものを選定することで、MISPをより効果的に活用できます。

今後も機会があれば、MISPの活用方法や脅威インテリジェンス運用に関する情報を発信していきます。
本記事が、MISPを運用する際の参考になれば幸いです。

また、多くの方がブログ記事でMISPの活用事例を挙げていますので、お時間があれば検索してみてください。

個人的には以下の記事がとても分かりやすかったのでお勧めです。

参考サイト

• https://www.misp-project.org/feeds/
• https://dataplane.org/sshpwauth.txt
• https://dataplane.org/analysis/sshpwauth-tac.html
• https://zerodot1.gitlab.io/CoinBlockerListsWeb/info.txt
• https://zerodot1.gitlab.io/CoinBlockerListsWeb/
• https://www.circl.lu/doc/misp/managing-feeds/
• https://misp-project.org/misp-performance-tuning/
• https://www.misp-project.org/2023/04/29/MISP.how.to.push.to.a.taxii.server.html/
• https://www.nttdata.com/jp/ja/trends/data-insight/2022/0124/

関連サービスの紹介

MISPを活用した脅威インテリジェンス運用は、ログ監視やインシデント対応などのセキュリティ運用と組み合わせることで、より効果的に機能します。
当社では、SOC運用やログ分析、インシデント対応支援など、セキュリティ運用を支援する各種サービスも提供しています。
ご興味のある方は、以下のサービスもぜひご覧ください。

SOC（セキュリティオペレーションセンター）サービス

SIV-SOCサービス

SOCは、セキュリティ機器やログを監視し、インシデントの検知や対応を行う運用体制です。
MISPのような脅威インテリジェンスを活用する場合、SOCによるログ監視やインシデント対応と組み合わせることで、より実践的なセキュリティ運用が可能になります。

---

サイバー攻撃早期発見サービス「EISS（アイズ）」

サイバー攻撃早期発見サービス「EISS」

EISSは、PC端末などからログ情報を収集・分析し、サイバー攻撃の痕跡を早期に検知するログ分析サービスです。
ログを定期的に収集し分析結果をレポートとして提供することで、攻撃の兆候を早期に把握し、被害の最小化につなげることができます。

---

デジタルフォレンジックサービス

デジタルフォレンジックサービス

フォレンジックとは、サイバー攻撃による情報漏洩やマルウェア感染などのセキュリティ事故（インシデント）発生時に、原因を調査することです。
サイバー攻撃の痕跡調査や証拠保全、原因分析などを専門家がサポートします。

---