CyberFix Note攻撃者目線の偵察(OSINT)と自組織の露出確認。合法な範囲で攻撃面を把握する
対象の目安: セキュリティ運用・脆弱性管理・情報システム担当 / 実務レベル
攻撃は、いきなりエクスプロイトのコードが飛んでくるところから始まるわけではありません。多くの標的型攻撃は、その手前で攻撃者が標的を観察し、どんなドメインや公開サーバを持ち、どんな技術を使い、どの担当者がいるのかを地道に調べる「偵察」から始まります。この段階の大部分は、公開情報を集めて分析するOSINT(Open Source Intelligence)で成り立っており、標的のネットワークに触れずに進むため、防御側のログには痕跡が残りにくいという厄介な性質があります。
裏を返すと、攻撃者が偵察で見つけられる情報は、自組織が自分で先に確認できる情報でもあります。忘れられたサブドメイン、退役したはずのサーバ、設定ミスで公開されたファイル、退職者のアカウントが残るSaaS。こうした「自分でも把握しきれていない露出」こそが、攻撃者にとっての入口になります。攻撃者目線で自組織を眺め、攻撃面(アタックサーフェス)を先に潰すことが、偵察を理解する実務上の目的です。
この記事では、偵察とOSINTの原理を能動・受動の区別から噛み砕き、攻撃者がどの順序で何を見るのか、それを自組織の露出確認にどう転用するのか、そして必ず守るべき法的・倫理的な前提までを実務目線で整理します。攻撃手法に触れますが、目的はあくまで防御であり、検証は自分が管理する資産か許可された対象に限る前提で読み進めてください。
早見表: 偵察に関する基本用語
議論を始める前に用語を整理します。「OSINT」「偵察」「アタックサーフェス」は重なりつつも指す範囲が違い、混同すると対策の話がかみ合いません。
| 用語 | 英語 | 意味 | 補足 |
|---|---|---|---|
| 偵察 | Reconnaissance | 攻撃に先立ち標的の情報を集める段階全般 | 受動・能動の両方を含む |
| OSINT | Open Source Intelligence | 公開情報を収集・分析して得る情報 | 偵察の中核だが防御側の調査にも使う中立な技法 |
| 受動偵察 | Passive Recon | 標的に直接接触せず公開情報から調べる | DNS記録、証明書ログ、検索エンジン等 |
| 能動偵察 | Active Recon | 標的のシステムに直接接触して調べる | ポートスキャン、サービス応答の確認等 |
| アタックサーフェス | Attack Surface | 外部から到達・攻撃しうる資産や入口の総体 | 公開IP、ドメイン、サービス、認証画面など |
| ASM | Attack Surface Management | 攻撃面を継続的に発見・評価・管理する取り組み | 露出確認を一度きりでなく回し続ける考え方 |
ここで最も誤解されやすいのが、OSINT=攻撃という見方です。OSINTは公開情報を扱う中立な技法であり、防御側が自組織の露出を点検するときも、ジャーナリストが事実確認するときも同じ手法を使います。重要なのは手法そのものより、「誰の何を、どの手段で調べるか」です。自組織の公開DNSを引くのと、他社のサーバへポートスキャンをかけるのは、技術的には地続きでも、法的・倫理的にはまったく別物だという点を最初に押さえてください。
受動偵察と能動偵察はどこで線が引かれるか
偵察を理解する最初の分岐点は、標的のシステムに「触れるかどうか」です。
受動偵察は、標的のインフラに直接パケットを送らずに情報を集めます。たとえばDNSの公開レコードを引く、TLS証明書の発行記録を調べる、検索エンジンのインデックスを使う、求人情報から使用技術を推測する、といった行為です。これらは第三者が運用する公開データベースや、標的が自ら公開している情報を見ているだけなので、標的のログには現れません。攻撃者にとっては「気づかれずに下調べできる」点が魅力であり、防御側にとっては「攻撃者が触れる前に同じ情報を確認できる」点が価値になります。
能動偵察は、標的のシステムに直接接触します。ポートスキャンで開いているサービスを調べる、Webサーバに実際にリクエストを送ってバナーやヘッダを確認する、といった行為です。標的側のログやIDS/IPSに痕跡が残るため検知されうる一方、受動偵察では分からない「今この瞬間に何が動いているか」が分かります。
注意
受動と能動の境界は、そのまま法的・倫理的な境界でもあります。自組織が管理する資産や、書面で許可を得た対象に対してであれば能動偵察も正当な検証行為ですが、許可のない他者のシステムへ能動的に接触する行為は、不正アクセス禁止法をはじめとする法令に関わるおそれがあります。技術的に「できる」ことと、法的・倫理的に「やってよい」ことは別です。対象と手段を実施前に必ず確認してください。
攻撃者は何を、どの順で見るのか
偵察は闇雲な情報収集ではなく、攻撃面を広げていく一定の流れがあります。MITRE ATT&CKでは、この段階を「Reconnaissance(偵察)」という戦術(TA0043)として体系化しており、執筆時点では12の技術に整理されています。代表的なものを挙げると、組織や担当者の情報を集めるGather Victim Identity Information(T1589)、標的が公開するWebサイトを調べるSearch Victim-Owned Websites(T1594)、DNSや証明書ログなど公開技術データベースを調べるSearch Open Technical Databases(T1596)、検索エンジンやSNSを調べるSearch Open Websites/Domains(T1593)、そして標的に直接接触するActive Scanning(T1595)などです。これらは「攻撃者がどんな観点で標的を見るか」のチェック盤として、防御側の露出点検にもそのまま使えます。
実務で攻撃者の動きを追体験すると、おおむね次のような順序になります。
1. ドメインとサブドメインの洗い出し
最初に行われるのが、組織が持つドメインとサブドメインの列挙です。攻撃者は、ひとつの組織が運用するホスト名を可能な限り集めようとします。なぜなら、メインのコーポレートサイトは入念に守られていても、キャンペーン用の一時サイトや、開発・検証環境、退役したはずのサービスが、設定が甘いまま公開され続けていることが珍しくないからです。
このとき強力に使われるのがTLS証明書の透明性ログ(Certificate Transparency)です。CT(当初RFC 6962で規定され、現在はその後継のRFC 9162がCT 2.0として置き換えている)は、認証局が発行した証明書を改ざん困難な公開ログに記録する仕組みで、誰でも検索できます。証明書のSAN(Subject Alternative Name)欄にはホスト名が並ぶため、dev.example.co.jpやstaging.example.co.jpのような、外部に積極的に宣伝していないサブドメインまで露見します。crt.shのようなCTログ検索サービス(Sectigoが運用)を使えば、標的に一切触れずにサブドメインの一覧が得られます。
自組織の資産台帳を信じきっていると、証明書ログを引いた瞬間に知らないサブドメインがぞろぞろ出てきて青ざめます。台帳は「管理しているつもりの資産」、証明書ログは「実際に外から見える資産」で、この差分こそが攻撃面です。台帳と突き合わせて、身に覚えのないホストから潰していくのが現実的でした。
2. 公開サービスと技術スタックの把握
ホスト名が集まると、次はそれぞれが何を動かしているかの把握です。攻撃者はWebサイトのレスポンスヘッダ、エラーページ、JavaScriptの読み込み元、クッキーの名前などから、使われているフレームワークやミドルウェア、CMSを推測します。OWASPのWeb Security Testing Guide(WSTG)でも、テスト工程の入口に「Information Gathering(情報収集)」のカテゴリが置かれ、サーバのフィンガープリンティングやアプリケーションフレームワークの特定、エントリポイントの洗い出しといった項目が体系化されています。
技術スタックが分かると、攻撃者は既知の脆弱性へ直結させられます。たとえば古いバージョンのミドルウェアが判明すれば、それに対応するCVEを調べ、JVNなどで詳細を確認し、攻撃の当たりをつけます。防御側から見れば、これは「公開している技術情報から、自組織がどんな既知脆弱性に晒されているか」を逆算する作業に転用できます。
あわせて読みたい
MITRE ATT&CKで攻撃を体系的に理解する。戦術と技術のマトリクスを検知・防御にどう活かすか
3. 人と組織の情報収集
技術だけでなく、人も偵察の対象です。攻撃者はSNSや求人情報、登壇資料、コードリポジトリの公開設定などから、従業員の氏名やメールアドレスの命名規則、利用しているSaaSやツールを推測します。これはフィッシングや、認証情報リスト攻撃の足がかりになります。求人票に「特定の製品の運用経験者募集」と書けば、攻撃者にはその製品を使っていると伝わる、という具合です。
ここで見落とされやすいのが、過去の情報漏えいで流出した認証情報との突き合わせです。攻撃者は漏えいデータベースを参照し、自社ドメインのメールアドレスと、そこで使われていたパスワードを照合します。多要素認証が未導入で、かつ使い回しがあると、偵察だけで侵入の糸口が揃ってしまいます。
自組織の露出確認(攻撃面の把握)への転用
ここまでの偵察の流れは、すべて防御側の「露出確認」に裏返せます。攻撃面の把握(ASMの考え方)とは、攻撃者が見つける前に同じ情報を自分で集め、想定外の露出を見つけて閉じる継続的な営みです。一度きりの棚卸しで終わらせず、クラウドの一時的な公開や新サービスの追加に追従して回し続けるのが要点です。
- 1
調査の対象範囲(スコープ)を文書で確定する
自組織が保有・管理するドメイン、IPレンジ、クラウドアカウントを明文化します。能動的な調査を行う場合は、対象が自社管理下にあること、または許可があることを書面で確認します。委託先や共用ホスティング上の資産は、他者の資産を巻き込まないよう特に慎重に範囲を切ります。
- 2
受動偵察で資産を洗い出す
証明書ログ(CT)や公開DNSの情報から、自組織に紐づくホスト名を列挙します。ここは標的(自組織)に触れないため安全に広く実施でき、資産台帳との差分を取る出発点になります。
- 3
台帳と突き合わせて未知の資産を見つける
洗い出したホストを資産台帳と照合し、台帳にない、または管理者不明の資産を抽出します。この差分が「自分でも把握していなかった攻撃面」であり、優先的に調査する対象です。
- 4
自社資産に限定して能動的に状態を確認する
未知資産が自社管理下と確認できたものについて、公開サービスやバージョン、設定の状態を確認します。能動的な確認は範囲を自社資産に厳密に限り、共用環境では特に慎重に行います。
- 5
リスクを評価し、閉じるか管理下に置く
不要な公開資産は停止・非公開化し、必要なものは正式に管理下へ移して脆弱性管理の対象に組み込みます。継続的に再実行し、新たな露出を検知し続ける仕組みにします。
誤解しやすいのは、攻撃面の把握をツール導入の話だと捉えてしまうことです。専用のASMツールやスキャナは効率を上げますが、本質は「攻撃者が外から見たときに何が見えるか」という視点を持ち、台帳と現実の差分を継続的に潰すことにあります。視点と運用が伴わなければ、ツールの出力は消化されないまま積み上がります。
メモ
受動偵察で見える情報は「外から見えてしまう情報」そのものです。証明書ログやDNSに想定外のホスト名が載っているなら、それは攻撃者にも同じく見えています。隠すことはできないため、対策は「見えても問題ない状態にする」、すなわち不要な公開をやめ、公開が必要なものは堅牢に保つ方向で考えます。
法的・倫理的な前提を外さない
偵察やOSINTの技法は、対象と手段を誤ると違法行為になります。日本では「不正アクセス行為の禁止等に関する法律」(不正アクセス禁止法)が、他人の識別符号を悪用したアクセスや、アクセス制御を回避するアクセスを禁じています。違反には、不正アクセス行為そのもので3年以下の拘禁刑(2025年6月施行の改正刑法で懲役・禁錮を一本化した刑)または100万円以下の罰金といった罰則が定められています。
受動偵察、すなわち公開情報を見るだけの行為は、一般に標的のシステムへの「アクセス」には当たりません。一方、能動偵察のうちポートスキャンは、それ自体が直ちに不正アクセス禁止法違反になるわけではないとされますが、攻撃の予兆とみなされやすく、相手とのトラブルや、サービス妨害と評価されるリスクがあります。許可なく他者のシステムへ接触する能動的な調査は、避けるべきです。境界が微妙な行為こそ、対象が自社管理下か、書面の許可があるかを基準に判断してください。
不正アクセス禁止法が禁じる行為の類型と罰則の概要は、総務省の国民向け解説ページで確認できます。実際の適用は事案により異なるため、判断に迷う場合は専門家に相談してください。
注意
この記事で扱う偵察・OSINTの技法は、必ず自分が管理する資産、または書面で明確に許可された対象に限って実施してください。許可のない第三者のシステムへの能動的な調査・スキャンや、漏えいデータを用いた認証情報の悪用は、不正アクセス禁止法をはじめとする関連法令に抵触するおそれがあります。技術的に可能かどうかと、法的・倫理的に許されるかどうかは別問題です。
よくある質問
OSINTは違法ですか
自社のサブドメインを証明書ログで調べるのは問題ありませんか
ポートスキャンは違法ですか
攻撃面の把握にはツールが必須ですか
まとめ
偵察は攻撃の最初の段階であり、その大部分は公開情報を扱うOSINTで成り立ちます。攻撃者が見つける露出は、自組織が先に確認できる露出でもあります。受動偵察で資産を洗い出し、台帳との差分から想定外の攻撃面を見つけ、自社資産に限定して状態を確認して閉じる。この流れを継続的に回すことが、偵察を理解する実務上の到達点です。そして何より、対象と手段が法的・倫理的に許される範囲かを、実施前に必ず確認してください。
攻撃面の露出確認チェックリスト
- 調査の対象範囲(自社ドメイン・IP・クラウド)を文書で確定しているか
- 証明書ログ(CT)や公開DNSで資産を洗い出し、台帳と突き合わせているか
- 台帳にない、または管理者不明の資産を抽出し優先対応しているか
- 能動的な確認を自社資産または許可された対象に厳密に限定しているか
- 不要な公開資産を停止・非公開化し、必要なものを脆弱性管理に組み込んでいるか
- 露出確認を一度きりでなく継続的に再実行する仕組みにしているか
- 実施する技法が不正アクセス禁止法等に照らして許される範囲か確認しているか
関連記事として、許可された範囲での検証を実務に落とす進め方は あわせて読みたい ペネトレーションテストの進め方と報告書の書き方。スコープ・許可・手順・報告を実務目線で整理する あわせて読みたい MITRE ATT&CKで攻撃を体系的に理解する。戦術と技術のマトリクスを検知・防御にどう活かすか
出典・参考
関連する記事
ペネトレーションテストの進め方と報告書の書き方。スコープ・許可・手順・報告を実務目線で整理する
ペネトレーションテストを安全かつ価値あるものにするための進め方を、スコープ定義・許可取得・実施手順・報告書作成の順に実務目線で解説します。PTESやNIST SP 800-115を参照し、許可された対象でのみ行う前提と関連法令への注意も具体的に整理します。
MITRE ATT&CKで攻撃を体系的に理解する。戦術と技術のマトリクスを検知・防御にどう活かすか
攻撃者の行動を戦術と技術のマトリクスで整理するMITRE ATT&CKを、原理から実務での使い方まで解説します。検知ルールの評価やレッドチーム演習、脅威インテリジェンスへの活用の勘所を具体的に示します。
Burp Suiteで学ぶWeb診断の基礎。自分の検証環境で安全に手を動かす
Web診断の定番ツールBurp Suiteの基本を、ProxyとRepeaterを中心に原理から解説します。検証環境の整え方、HTTPの観察と再送の進め方、Community版でできること、そして必ず守るべき法的・倫理的な前提までを実務者向けにまとめます。