年末にツイッターに書いたけど、特に記事にしていなかったので供養として一応記事に書いてみます。 CT Log の SAN が異常に多い CT Log は9割 Malicious なんじゃないか?と思って今 CT Log Streaming しながらフィルタかけてみてるけど普通のやつがかかりまくってきて推測が外れた。— もつに (@akroasis5150) 2022年12月23日 失敗した内容ではあるんですが、おそらくこの観点で調査してる人が国内にいないだろうし、 (多少関連する内容について記載するので) ほんの少しは需要があると思って記載しておきます。 一応以下のやつを考慮に入れて検知を考えたけど失敗したって話です。 censys で SAN の数を元にした検索(検索がそもそもできない) crt.sh で、 SAN の数を元にした検索 (検索がそもそもできない) crt.sh が公開してい