偵察タクティクスとは
TA0043 偵察 タクティクスは、攻撃者が標的に対する攻撃を計画するための情報収集フェーズです。この段階では標的組織のシステムに一切アクセスせず、公開情報のみを使うことが多いため検知が困難です。
教育目的の注意事項
このレッスンは攻撃手法の「原理の理解」と「防御策の立案」を目的としています。実際のシステムへの不正な偵察行為は違法です。
受動偵察 vs 能動偵察
| 項目 | 受動偵察(Passive) | 能動偵察(Active) |
|---|---|---|
| 定義 | 標的に直接接触せず公開情報を収集 | 標的のシステムに直接プローブを送信 |
| 検知リスク | 非常に低い | 中〜高(ログに痕跡が残る) |
| 情報の鮮度 | 古い可能性あり | リアルタイムに近い |
| 手法例 | WHOIS, Google Dorks, LinkedIn調査 | Nmapスキャン, バナーグラブ |
| 法的リスク | 低い(公開情報の閲覧) | 高い(許可なければ不正アクセス) |
主な偵察テクニック
T1595 — アクティブスキャン
T1595 アクティブスキャン攻撃者はポートスキャン・脆弱性スキャンにより、標的のオープンポート・使用サービス・OS情報を特定します。
防御策:
- ファイアウォールで不要なポートをブロック
- IDS/IPSによるスキャン検知
- ハニーポートの設置
T1589 — 被害者情報収集
T1589 被害者情報収集LinkedInや企業Webサイトから従業員名・メールアドレス・組織構造・使用技術スタックを収集します。
防御策:
- 公開する社員情報の最小化
- セキュリティ意識向上トレーニング
- メールアドレスのハーベスティング検知
T1596 — 公開技術情報の収集
T1596 公開技術情報の収集ジョブ求人票・GitHub・Shodan・証明書透明性ログ(CT Log)などから、使用技術・内部IPレンジ・ドメイン情報を収集します。
防御策:
- ジョブ投稿で具体的な技術スタックの記載を控える
- GitHubに秘密情報(APIキー・設定ファイル)をコミットしない
- CT Logを監視し不審なサブドメインを検知する
検知と対応
偵察フェーズは検知が難しいですが、以下の指標(IoC)で察知できる場合があります。
- 短時間での大量ポートスキャン(SYN Flood的なパターン)
- 公開Webサーバーへの異常な HEAD/OPTIONS リクエスト
- 同一IPから複数のサブドメインへのアクセス
- WHOIS・rDNS の大量照会
防御の考え方
攻撃者は「コスト対効果」で標的を選びます。偵察で得られる情報が少ない組織は攻撃の優先度が下がります。攻撃対象領域(Attack Surface)を最小化することが最良の防御です。
理解度チェック
受動偵察(Passive Reconnaissance)の特徴として正しいものはどれですか?
解説: 受動偵察は標的のシステムに直接接触せず、WHOIS・SNS・求人票などの公開情報を収集する手法です。標的のログに痕跡が残らないため検知が非常に困難です。