IP 黑名单とは

本文约需 2 分钟阅读

IP ブロックリスト (IP Blocklist) とは、悪意あるアクティビティが 確認された IP アドレスを登録し、それらからのアクセスを 自動的に拒否するリストです。ファイアウォールやWAF のルールに組み込むことで、 既知の攻撃元からの通信を入口で遮断できます。 2025 年現在、脅威インテリジェンスフィードとの自動連携により、 リアルタイムでブロックリストを更新する運用が一般的になっています。

現場での使用例

「DDoS 攻撃を受けた際、攻撃元の IP アドレス帯域 (/24) を WAF の IP セットに追加して即座にブロックしました。 同時に脅威インテリジェンスフィードから関連する C2 サーバーの IP リストを取得し、予防的にブロックリストへ追加しています。」

ブロックリストの種類

公開ブロックリスト (Spamhaus、AbuseIPDB など) は、 スパム送信元やマルウェア配布元の IP アドレスをコミュニティで 共有するサービスです。商用の脅威インテリジェンスフィードは、 より精度の高い IP レピュテーション情報を提供します。 自社ブロックリストは、自社のログ分析で検出した攻撃元 IP を 独自に登録するもので、SIEM と 連携して自動更新する運用が効果的です。脅威インテリジェンスの書籍 (Amazon)で体系的に学べます。

運用シナリオ

Web サーバーへのDDoS 攻撃が 検知された場合、攻撃元の IP アドレス帯域をブロックリストに追加して 即座に遮断します。メールサーバーでは、スパム送信元の IP を DNS ベースのブロックリスト (DNSBL) で照合し、 受信を拒否します。クラウド環境では、AWS WAF の IP セットや CloudFront のジオリスティクションと組み合わせて、 国単位でのアクセス制御も可能です。DNS セキュリティと IP ブロックリストを併用することで、多層的な防御を実現できます。

運用の注意点

IP ブロックリストの最大の課題は誤検知 (フォルスポジティブ) です。 共有 IP アドレス (NAT 環境、CDN、VPN) をブロックすると、 正規ユーザーまで巻き添えになります。ブロックリストは 定期的に見直し、不要なエントリを削除する運用が必要です。 また、攻撃者は IP アドレスを頻繁に変更するため、 ブロックリストだけに依存せず、レートリミットや 行動分析と組み合わせましょう。パスつく.com で生成した強力なパスワードで ファイアウォールの管理コンソールを保護することも重要です。ネットワーク防御の書籍 (Amazon)も参考になります。