見慣れないIPアドレスの正体を調べる4つの方法
アクセスログを眺めていると、時々「これは誰だ?」というIPアドレスに出くわします。大量のアクセスを飛ばしてくるIP、深夜に管理画面を叩いてくるIP——正規のユーザーなのか、それとも攻撃者なのか。この記事では、素性の分からないIPアドレスを調べる実践的な手順をまとめます。
そもそも何を知りたいのか
IPを「調べる」と一口に言っても、知りたいことは大きく2つに分かれます。素性(どこの国の、どの組織が持っているIPか)と、評判(過去に攻撃・スパムなどの前科があるIPか)です。この2つを別々のツールで確認し、突き合わせて判断するのが基本になります。
IPを調べる4つの方法
1. whois — 正式な保有者を確認する
whois は、IPアドレスの正式な割当情報を管理レジストリ(RIR)から引く方法です。保有組織、ISP、割り当てられているアドレス範囲、国が分かります。
whois 203.0.113.45
「このIPは本当にAWSのものか」「どの国のISPか」といった一次情報を確定させたいときに使います。
Windowsには標準で
whoisが入っていないので、後述のAPI系が手軽です。
2. ipinfo.io / ip-api.com — 素性を一発で
とりあえず素性をざっくり知りたいなら、IP情報APIが最速です。国・都市・組織・ASN(ネットワーク番号)までまとめて返ってきます。
curl https://ipinfo.io/203.0.113.45
# または
curl http://ip-api.com/json/203.0.113.45
whois より読みやすい整形済みの結果が返るので、最初の一手としておすすめです。
3. reverse DNS — ホスト名から正体を推測する
IPからホスト名を逆引きすると、正体のヒントになることがあります。
nslookup 203.0.113.45 # Windows
dig -x 203.0.113.45 # macOS / Linux
crawl-66-249-xx-xx.googlebot.com のように、正規クローラだと分かりやすいホスト名が付いていることも多いです。
4. AbuseIPDB — 「前科」を照会する
ここまでで素性は分かりました。最後に確認したいのが評判です。それを担うのが AbuseIPDB です。
AbuseIPDB は、「このIPが過去に攻撃・スパム・不正アクセスをしてきた前科があるか」を照会できる評判データベースです。世界中の管理者が「このIPから攻撃を受けた」という通報を投稿し、それが蓄積されています。IPを検索すると、次のような情報が得られます。
- Confidence of Abuse(0〜100%):高いほど「多数から通報されている=黒に近い」
- 通報の種類:SSHブルートフォース / Webスキャン / スパム / DDoS など
- 通報回数・国・ISP
Webなら abuseipdb.com でIPを入力するだけ(閲覧はログイン不要)。無料アカウントでAPIキーを発行すれば、1日1,000回まで照会できます。
curl -G https://api.abuseipdb.com/api/v2/check \
--data-urlencode "ipAddress=203.0.113.45" \
-H "Key: <APIキー>" -H "Accept: application/json"
実践:この順番で調べる
不審なIPを見つけたら、次の流れが定番です。
- ipinfo.io で素性(国・組織・ASN)をざっと確認する
- whois / 逆引き で正式な保有者・ホスト名を裏取りする
- AbuseIPDB で評判(悪用履歴)を確認する
注意:数字を鵜呑みにしない
最後に落とし穴を1つ。AbuseIPDB の Confidence % は、あくまで通報ベースの指標です。次のようなIPが巻き込まれてスコアが高く出ることもあります。
- 共有IPやCGNAT(多数のユーザーが同じIPを共有)
- Googlebot などの正規クローラ
数字だけで即ブロックせず、whois や逆引きの結果と必ず突き合わせて判断しましょう。
まとめ
- IP調査は「素性」と「評判」の2軸で考える
- 素性は
ipinfo.io→whois/ 逆引き、評判は AbuseIPDB - スコアは通報ベースなので、複数の情報源で裏を取ってから判断する
見慣れないIPに出くわしたら、まずは落ち着いて curl https://ipinfo.io/<IP> から始めてみてください。

