whoisで遊ぼう|IPアドレスからGoogleplexを訪ねる聖地巡礼の旅 | UNIX Cafe

イントロダクション：ログの中に潜む「謎の訪問者」

放課後の UNIX Cafe。
ミナちゃんは、サーバーの access.log を見つめながら首をかしげていました。

ミナちゃん

先生、さっきから同じIPアドレスから、すごい勢いでアクセスがあるんだけど……。これって、もしかして攻撃？

ユニ先生はログをのぞき込み、静かに言いました。

ユニ先生

どれどれ。ふむ、User-Agent だけ見ると Googlebot っぽいね。でも、本当に Google なのかは、名前だけでは断定できない。正体を辿ってみようか。

そんなときに使えるのが、whois（フーイズ） です。

whois は、IPアドレスやドメイン名の登録情報を調べるためのコマンド。
ネットの向こうにいる相手が、どこの誰なのかを探るための、最初の一歩です。

まず whois を使えるようにしよう

旅に出る前に、乗り物の確認から。

macOS や多くの Linux ディストリビューションには、最初から whois が入っています。
まず、使えるか確認してみましょう。

whois --version

whois --version

入っていない場合は、ディストリビューションに合わせてインストールします。

# Debian / Ubuntu 系
sudo apt install whois

# Red Hat / Fedora 系
sudo dnf install whois

# macOS（Homebrew）
brew install whois

# Debian / Ubuntu 系
sudo apt install whois

# Red Hat / Fedora 系
sudo dnf install whois

# macOS（Homebrew）
brew install whois

準備ができたら、出発です。

whoisってなに？

たとえば、知らない電話番号から着信があったとき、
「どこの会社だろう」と気になりますよね。

whois は、それのインターネット版です。

• IPアドレスなら、そのネットワークを管理している組織
• ドメイン名なら、その登録情報や管理先

といった情報を確認できます。

まずは、IPアドレスをひとつ調べてみましょう。

whois 66.249.66.1

whois 66.249.66.1

すると、環境によって多少表示は違いますが、たとえばこんな情報が見えてきます。

OrgName:    Google LLC
Address:    1600 Amphitheatre Parkway
City:       Mountain View
StateProv:  CA
Country:    US

OrgName:    Google LLC
Address:    1600 Amphitheatre Parkway
City:       Mountain View
StateProv:  CA
Country:    US

「マウンテンビュー？ 1600 Amphitheatre Parkway？ なんだかテーマパークみたいな住所！」
ミナちゃんが目を丸くします。

でも、ここからが whois の面白いところです。
ただの登録情報が、急に「地図に載っている現実の場所」へ変わるのです。

数字の列だった IPアドレスが、いきなり「住所」になる。この瞬間が whois のいちばん楽しいところです。

出力の地図を読む 

whois の結果は、慣れないと情報の洪水に見えます。
でも、見るべき場所はだいたい決まっています。

NetRange:         66.249.64.0 - 66.249.95.255   # このIPが属するアドレス範囲
CIDR:             66.249.64.0/19                 # 同じ範囲をCIDR表記で
OrgName:          Google LLC                     # 管理している組織名
Country:          US                             # 登録国
OrgAbuseEmail:    network-abuse@google.com       # 不正利用の報告先

NetRange:         66.249.64.0 - 66.249.95.255   # このIPが属するアドレス範囲
CIDR:             66.249.64.0/19                 # 同じ範囲をCIDR表記で
OrgName:          Google LLC                     # 管理している組織名
Country:          US                             # 登録国
OrgAbuseEmail:    network-abuse@google.com       # 不正利用の報告先

ミナちゃん

不正アクセスや迷惑行為があったとき、どこに報告すればいいかまで載っているんですね！

ユニ先生

そう。何か問題があったとき、どこに連絡すればいいかも whois でわかる。ログ調査の現場では、ここを確認することも多いよ。

ターミナルから地図へワープする

1600 Amphitheatre Parkway, Mountain View
この住所を Google Maps で検索してみましょう。

そこに現れるのは、あの Googleplex。
低層の建物が広く並び、まるでひとつの街のような巨大なキャンパスです。

ふだん私たちは、Google を検索ボックスの向こう側にある「サービス」として使っています。
でも whois をきっかけに住所を調べると、「ああ、これにはちゃんと物理的な本拠地があるんだ」と急に実感が湧いてきます。

しかも、Amphitheatre は「円形劇場」。
いかにもシリコンバレーらしい、少し遊び心のある地名です。

• ログではただのIPアドレスに見える
• whois で組織名と住所が見える
• 地図で検索すると、現実の風景につながる

寄り道：本当の聖地はすぐ近くにある

Googleplex の周辺を地図で眺めていると、すぐ近くに別の名前が見えてきます。

Computer History Museum。
コンピューター歴史博物館です。

ユニ先生は、ここで少しだけ声のトーンを上げます。

ユニ先生

ミナちゃん、実はこここそが、僕ら UNIX ユーザーにとっての真の聖地なんだよ。

Computer History Museum には、計算機の歴史を形づくってきたマシンたちが展示されています。

• 初期の計算機のアイデア
• 巨大なスーパーコンピューター
• UNIX の時代を支えた計算機文化の流れ

インターネットの巨人である Google のすぐそばに、
その土台を作ってきた計算機の歴史が眠っている。

この対比が、たまらなく良いのです。
最新のクラウドの近くに、古い鉄の匂いがする。

whoisはセキュリティの入口でもある

もちろん、whois は単なる観光ツールではありません。

本来は、

• このIPアドレスはどこの組織のものか
• このドメインはどこで管理されているか
• 問い合わせ先や管理者情報は見えるか

といったことを確認するための基本ツールです。

ログ調査、簡単なインシデント切り分け、知らないドメインの下調べ。
派手ではありませんが、ネットワークの現場では今でもよく使われます。

ここは注意：
whois の結果だけで「相手は絶対に本物」と断定するのは危険です。CDN、プロキシ、クラウド事業者、代理登録などで、見えている情報と実体が少しずれることがあります。

ただし、whois の情報だけで「絶対に安全」と決めつけてはいけません。
CDN やプロキシを挟んでいたり、登録情報が代行サービスになっていたりすることもあります。

つまり whois は、犯人を一発で言い当てる魔法ではなく、
相手を知るための最初の地図、くらいに考えるのがちょうどいい道具です。

本当に Googlebot？ 逆引き DNS で確かめる 

さて、冒頭のミナちゃんの疑問に戻りましょう。

User-Agent が Googlebot っぽいけど、本当に Google なの？

whois で OrgName: Google LLC と出ても、それだけでは確定できません。
IPアドレス自体は簡単に偽れないものの、whois の登録情報は実体と少しずれることがあるからです。

そこで使うのが 逆引き DNS です。

IPアドレスからホスト名を調べるには、host コマンドが使えます。

host 66.249.66.1

host 66.249.66.1

1.66.249.66.in-addr.arpa domain name pointer crawl-66-249-66-1.googlebot.com.

1.66.249.66.in-addr.arpa domain name pointer crawl-66-249-66-1.googlebot.com.

googlebot.com というホスト名が返ってきました。
でも、これだけではまだ不十分です。
ホスト名も偽装できるからです。

Google が公式に示している確認手順は、正引き・逆引きの往復です。

# ① IPアドレス → ホスト名（逆引き）
host 66.249.66.1

# ② 得られたホスト名 → IPアドレス（正引き）
host crawl-66-249-66-1.googlebot.com

# ① IPアドレス → ホスト名（逆引き）
host 66.249.66.1

# ② 得られたホスト名 → IPアドレス（正引き）
host crawl-66-249-66-1.googlebot.com

crawl-66-249-66-1.googlebot.com has address 66.249.66.1

crawl-66-249-66-1.googlebot.com has address 66.249.66.1

最初のIPアドレスと、正引きで返ってきたIPアドレスが一致すれば、本物の Googlebot と判断できます。

ミナちゃん

逆引きして、また正引きして、元に戻ってきたら本物、か。まるで合言葉みたいですね。

ユニ先生

そう。名乗るだけなら誰でもできる。でも、往復して辻褄が合うかどうかは、ごまかしにくい。これが DNS を使った身元確認の基本だね。

ドメイン名でも遊べる

whois は IPアドレスだけでなく、ドメイン名にも使えます。

whois google.com

whois google.com

こちらは、登録日、有効期限、ネームサーバーなどが見えることがあります。
ただし最近は、個人情報保護のために詳細が伏せられているケースも珍しくありません。

そのため、初心者が最初に「面白い」と感じやすいのは、
住所や組織名が見えやすい IPアドレスの whois かもしれません。

今日のコマンド

• whois --version でインストールを確認する
• whois 66.249.66.1 でIPアドレスの登録情報を見る
• whois google.com でドメインの情報を調べる
• 表示された住所を地図で検索して遊ぶ
• host 66.249.66.1 で逆引き、さらに正引きして往復確認する

まとめ：画面の向こう側にある世界

whois は、IPアドレスやドメインの情報を調べるための、地味で実用的なコマンドです。

でも今日は少しだけ、別の使い方をしました。
ログの中に出てきた数字を入口にして、ターミナルからシリコンバレーへ旅をしたのです。

デジタルの記号だったはずの IPアドレスが、
Googleplex という現実の場所につながり、さらにその近くの Computer History Museum へと続いていく。

画面の向こう側には、ちゃんと住所があり、建物があり、歴史があります。
whois は、そのことを思い出させてくれる小さな窓なのかもしれません。

ミナちゃん

今度ログに知らない住所が出てきたら、勝手に観光しちゃおうかな！

ミナちゃんのその一言に、ユニ先生は笑ってうなずきました。
そう、コマンドラインは調査の道具であると同時に、世界を広げる入口でもあるのです。