tl:dr
TorWhois Onion Search というサービスを見つけたので共有です!
onionアドレスのwhois情報!?と思ったら、onionサイトへのポートスキャン結果をwhoisプロトコルで提供しているようです。
WebUIのSearchフォームにonionアドレスを入力しても使えますし、
また独自APIがない代わりに、whoisコマンドでホストをtorwhois.comに指定し、CLIでも使えます。
つまりPythonなどプログラミング言語のwhoisライブラリにてルックアップ実装も容易です。
背景
サービス自体は2019年からあったようですが
4/7のこのTwitterを境に少しバズったみたいです。
https://twitter.com/anonymoush4ck35/status/1644172680805875712?s=21
サンプル結果
% whois -h torwhois.com facebookcorewwwi.onion
Onion Name: FACEBOOKCOREWWWI.ONION
Last Seen: 2023-02-27 22:49:41
443/tcp open https syn-ack
| http-robots.txt: 24 disallowed entries
| /ajax/ /album.php /checkpoint/ /contact_importer/
| /dialog/ /fbml/ajax/dialog/ /feeds/ /file_download.php
| /job_application/ /l.php /moments_app/ /p.php /photo.php /photos.php
| /plugins/ /share.php /share/ /sharer.php /sharer/ /tr/ /tr? /
|_/map_tile.php /static_map.php
|_http-title: Facebook
| ssl-cert: Subject: commonName=*.facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion/organizationName=Facebook, Inc./stateOrProvinceName=California/countryName=US/serialNumber=3835815/jurisdictionStateOrProvinceName=Delaware/jurisdictionCountryName=US/businessCategory=Private Organization/localityName=Menlo Park
| Subject Alternative Name: DNS:*.facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion, DNS:*.facebookcooa4ldbat4g7iacswl3p2zrf5nuylvnhxn6kqolvojixwid.onion, DNS:*.facebooksg4bc7ddneq44pf4miux7o7oqdn2agstg5v3d45odhyu4sqd.onion, DNS:*.m.facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion, DNS:*.xx.facebookcooa4ldbat4g7iacswl3p2zrf5nuylvnhxn6kqolvojixwid.onion, DNS:*.xy.facebookcooa4ldbat4g7iacswl3p2zrf5nuylvnhxn6kqolvojixwid.onion, DNS:*.xz.facebookcooa4ldbat4g7iacswl3p2zrf5nuylvnhxn6kqolvojixwid.onion, DNS:facebookcooa4ldbat4g7iacswl3p2zrf5nuylvnhxn6kqolvojixwid.onion, DNS:facebooksg4bc7ddneq44pf4miux7o7oqdn2agstg5v3d45odhyu4sqd.onion, DNS:facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion
| Issuer: commonName=DigiCert ECC Extended Validation Server CA/organizationName=DigiCert Inc/countryName=US/organizationalUnitName=www.digicert.com
| Public Key type: ec
| Public Key bits: 256
| Signature Algorithm: ecdsa-with-SHA384
| Not valid before: 2022-06-08T00:00:00
| Not valid after: 2022-09-05T23:59:59
| MD5: 9d2e ae5b 6502 d6a8 9cfc 53cc 4bce 4e4a
| SHA-1: ab17 b5ad 544c 72e5 35eb ddcd e6a2 ea72 fc06 518c
| -----BEGIN CERTIFICATE-----
| MIIIszCCCDmgAwIBAgIQBxz7z5Yo2J1adO+lJvuzGDAKBggqhkjOPQQDAzB0MQsw
| CQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3d3cu
| ZGlnaWNlcnQuY29tMTMwMQYDVQQDEypEaWdpQ2VydCBFQ0MgRXh0ZW5kZWQgVmFs
| aWRhdGlvbiBTZXJ2ZXIgQ0EwHhcNMjIwNjA4MDAwMDAwWhcNMjIwOTA1MjM1OTU5
| WjCB/DETMBEGCysGAQQBgjc8AgEDEwJVUzEZMBcGCysGAQQBgjc8AgECEwhEZWxh
| d2FyZTEdMBsGA1UEDwwUUHJpdmF0ZSBPcmdhbml6YXRpb24xEDAOBgNVBAUTBzM4
| MzU4MTUxCzAJBgNVBAYTAlVTMRMwEQYDVQQIEwpDYWxpZm9ybmlhMRMwEQYDVQQH
| EwpNZW5sbyBQYXJrMRcwFQYDVQQKEw5GYWNlYm9vaywgSW5jLjFJMEcGA1UEAwxA
| Ki5mYWNlYm9va3draHBpbG5lbXhqN2FzYW5pdTd2bmpqYmlsdHhqcWh5ZTNtaGJz
| aGc3a3g1dGZ5ZC5vbmlvbjBZMBMGByqGSM49AgEGCCqGSM49AwEHA0IABDhRLcC5
| rkBBcjmXEIgJbcwnQkv70GYBxZOORniHALfDQbeqRzl7t6NII0SV5Agdg45yp8Eb
| ccl+J6B7NIq1pOujggYiMIIGHjAfBgNVHSMEGDAWgBT4JdmmOcfDgYclPjBUkRgh
| QJsXnTAdBgNVHQ4EFgQUf20IYookFqxD5zQfclUcBF6rgCMwggKmBgNVHREEggKd
| MIICmYJAKi5mYWNlYm9va3draHBpbG5lbXhqN2FzYW5pdTd2bmpqYmlsdHhqcWh5
| ZTNtaGJzaGc3a3g1dGZ5ZC5vbmlvboJAKi5mYWNlYm9va2Nvb2E0bGRiYXQ0Zzdp
| YWNzd2wzcDJ6cmY1bnV5bHZuaHhuNmtxb2x2b2ppeHdpZC5vbmlvboJAKi5mYWNl
| Ym9va3NnNGJjN2RkbmVxNDRwZjRtaXV4N283b3FkbjJhZ3N0ZzV2M2Q0NW9kaHl1
| NHNxZC5vbmlvboJCKi5tLmZhY2Vib29rd2tocGlsbmVteGo3YXNhbml1N3Zuampi
| aWx0eGpxaHllM21oYnNoZzdreDV0ZnlkLm9uaW9ugkMqLnh4LmZhY2Vib29rY29v
| YTRsZGJhdDRnN2lhY3N3bDNwMnpyZjVudXlsdm5oeG42a3FvbHZvaml4d2lkLm9u
| aW9ugkMqLnh5LmZhY2Vib29rY29vYTRsZGJhdDRnN2lhY3N3bDNwMnpyZjVudXls
| dm5oeG42a3FvbHZvaml4d2lkLm9uaW9ugkMqLnh6LmZhY2Vib29rY29vYTRsZGJh
| dDRnN2lhY3N3bDNwMnpyZjVudXlsdm5oeG42a3FvbHZvaml4d2lkLm9uaW9ugj5m
| YWNlYm9va2Nvb2E0bGRiYXQ0ZzdpYWNzd2wzcDJ6cmY1bnV5bHZuaHhuNmtxb2x2
| b2ppeHdpZC5vbmlvboI+ZmFjZWJvb2tzZzRiYzdkZG5lcTQ0cGY0bWl1eDdvN29x
| ZG4yYWdzdGc1djNkNDVvZGh5dTRzcWQub25pb26CPmZhY2Vib29rd2tocGlsbmVt
| eGo3YXNhbml1N3ZuampiaWx0eGpxaHllM21oYnNoZzdreDV0ZnlkLm9uaW9uMA4G
| A1UdDwEB/wQEAwIHgDAdBgNVHSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwgZ8G
| A1UdHwSBlzCBlDBIoEagRIZCaHR0cDovL2NybDMuZGlnaWNlcnQuY29tL0RpZ2lD
| ZXJ0RUNDRXh0ZW5kZWRWYWxpZGF0aW9uU2VydmVyQ0EuY3JsMEigRqBEhkJodHRw
| Oi8vY3JsNC5kaWdpY2VydC5jb20vRGlnaUNlcnRFQ0NFeHRlbmRlZFZhbGlkYXRp
| b25TZXJ2ZXJDQS5jcmwwSgYDVR0gBEMwQTALBglghkgBhv1sAgEwMgYFZ4EMAQEw
| KTAnBggrBgEFBQcCARYbaHR0cDovL3d3dy5kaWdpY2VydC5jb20vQ1BTMIGHBggr
| BgEFBQcBAQR7MHkwJAYIKwYBBQUHMAGGGGh0dHA6Ly9vY3NwLmRpZ2ljZXJ0LmNv
| bTBRBggrBgEFBQcwAoZFaHR0cDovL2NhY2VydHMuZGlnaWNlcnQuY29tL0RpZ2lD
| ZXJ0RUNDRXh0ZW5kZWRWYWxpZGF0aW9uU2VydmVyQ0EuY3J0MAkGA1UdEwQCMAAw
| ggF+BgorBgEEAdZ5AgQCBIIBbgSCAWoBaAB1AEalVet1+pEgMLWiiWn0830RLEF0
| vv1JuIWr8vxw/m1HAAABgUWXVqoAAAQDAEYwRAIgd3KjfoL7snUEQANi3HshWkPK
| T2bpYiFMeIlFh2BMMaUCIGPFczxWSa0zlpm5wnFVXBFrP3dBmZCMAJPdNQm09oec
| AHYAUaOw9f0BeZxWbbg3eI8MpHrMGyfL956IQpoN/tSLBeUAAAGBRZdW0AAABAMA
| RzBFAiEA5FwQ381s7iycsAm5ph6MkieFHSXMwQfWprahOuDHZ2oCIArF5ClTgwM4
| VfXmXN+C8vc1aE0Q8EsKST97oBW2Z+v2AHcAQcjKsd8iRkoQxqE6CUKHXk4xixsD
| 6+tLx2jwkGKWBvYAAAGBRZdWbwAABAMASDBGAiEA6C1gNDEQ1ygTcUrlP22ieMaI
| +JZOoqLiV+gRdQP56zECIQCrNtTpwFm1nqWO46rULsl4ednS1Ebazchu/idPwpj4
| WDAKBggqhkjOPQQDAwNoADBlAjEA2GxeX4EV24aNKfxeycQynRpErozm6brK8Ur5
| qtEcMpo1ImnF0OPtByCPwILFQIZDAjAo00EyNJYPAbIzkZAvDrMlSJk+vmHoBXmK
| AEDDDLEieF8P+6+r50ImwZEcIZb0UlA=
|_-----END CERTIFICATE-----
|_http-favicon-hash: 142313513
Onion Name: FACEBOOKCOREWWWI.ONION
Last Seen: 2023-02-27 22:56:13
80/tcp open http syn-ack
| http-robots.txt: 24 disallowed entries
| /ajax/ /album.php /checkpoint/ /contact_importer/
| /dialog/ /fbml/ajax/dialog/ /feeds/ /file_download.php
| /job_application/ /l.php /moments_app/ /p.php /photo.php /photos.php
| /plugins/ /share.php /share/ /sharer.php /sharer/ /tr/ /tr? /
|_/map_tile.php /static_map.php
|_http-title: Facebook
|_http-favicon-hash: 142313513
>>> Last update of database: 2023-04-12T14:04:57Z <<<
This database contains only .ONION domains.
類似サービスについて
似たようなので2017年に 「ichidan」というサービスがあったのを思い出しました。そっちは onionサイト上でのサービスだったため一度 onionネットワークに入る必要がありました。
ichidan 参考: https://www.bleepingcomputer.com/news/security/ichidan-is-a-shodan-like-search-engine-for-the-dark-web/
TorWhoisのほうがインターネット越しに検索できるのいいですね、ただし適当に検索した結果、月1より長いのスパンでのDB更新と推察します。現在5/1での最新DBの更新日は4/12でした。
まとめ
whoisプロトコルで提供してくれており、そこまで速度も悪くないと感じたのでとりあえずの自動化調査の候補としてよいかと思います。
ただ有償版のDarkTracerをお持ちの方はそっちのがよりリッチな情報も出力されるためベターと思います。
TorWhoisの結果をどこまで信じれるかは置いといてとタダでゲットできる参考情報としてはありかと思います。
Appendix
torwhois.comのWhois情報を調べてみました。
https://whois.domaintools.com/torwhois.com
Googleのドメイン管理サービスで2019年に取得され、Whoisプライバシーガードがかかった消費者のようです。
個人運用の可能性が高そうです。
最後に、ダークウェブのonionサイトにアクセスする際は、VPNやProxyを経由するなどの秘匿化を含めてご用心をしていただき、マルウェア感染やアクセス元の漏洩など、万が一のセキュリティ事故にお気をつけください。