偵察(Reconnaissance)フェーズの本質
サイバー攻撃の成否は、派手なエクスプロイトコードより「偵察フェーズの精度」で決まります。 TA0043 偵察 フェーズは、APT(高度標的型攻撃)グループやプロのレッドチームが侵入シナリオを描くために行う、徹底した情報収集プロセスです。
最も優れた偵察の特徴は「静けさ」にあります。攻撃者は標的のログに一行も痕跡を残さないまま、組織の弱点をマッピングすることができます。現場の感覚として、レッドチームのエンゲージメントでは全工数の30〜50%が偵察に費やされると言われています。それほど念入りな準備が、後続フェーズの成功率を左右するのです。
本レッスンは、攻撃者の手法を理解し、堅牢な防御アーキテクチャやASM(Attack Surface Management)を設計するための教育を目的としています。許可を得ていない実際の企業ドメインやIPに対するアクティブな偵察・スキャンは、不正アクセス禁止法の対象となる違法行為です。
受動偵察(Passive) vs 能動偵察(Active)
偵察は「痕跡を残さない受動型」と「システムに直接触れる能動型」の2種類に大別されます。プロフェッショナルは必ず受動偵察から入り、得られた情報で仮説を立てた上で、必要な部分だけ能動偵察で検証します。いきなりスキャンをかけるのは、素人か急いでいる攻撃者です。
| 項目 | 受動偵察(Passive Recon) | 能動偵察(Active Recon) |
|---|---|---|
| 基本定義 | 公にアクセス可能な外部リソースを使い、標的に直接触れずに情報を収集する | 標的のインフラ(IP、ポート等)に直接パケットやリクエストを送信して情報を得る |
| 検知リスク | 極めて低い(ほぼ検知不可能) | 中〜高(WAFやIDS、SIEMにログが残る) |
| 代表的ツール | theHarvester, Maltego, 公開DNSレコード, Shodan, Wayback Machine | Nmap, Nessus, Masscan, DirBuster |
| 情報の鮮度 | キャッシュや過去データが混じることがある | リアルタイムの稼働状況やサービスバージョン |
| OpSecの観点 | 攻撃者の身元(IPアドレス)は完全に秘匿される | TorやプロキシなしではアクセスIPが標的ログに残る |
MITRE ATT&CK にみる主要な偵察テクニック
T1589 — 被害者のアイデンティティ情報収集
T1589 被害者情報収集スピアフィッシングやパスワードスプレー攻撃のターゲットリストを作るため、攻撃者はまず「従業員の氏名・役職・メールアドレスの命名規則(例:firstname.lastname@corp.com)」を収集します。theHarvester などのOSINTツールを使えば、LinkedInのプロフィールを自動で収集し、過去の情報漏洩データベース(Have I Been Pwned など)と突き合わせることも容易です。
興味深いことに、企業のプレスリリースや採用ページすらも情報源になります。「営業部長の山田太郎がプロジェクトXを担当」という1行が、後のスピアフィッシングに利用されるのです。
現代的な防御策:
- エグゼクティブ・プロテクション: 経営幹部(Cレベル)の公開プロフィールは必要最小限に絞る。ソーシャルエンジニアリングの格好の標的になる。
- データブローカー対策: 企業のオプトアウト申請代行サービスを活用し、名簿業者からの社員データ削除を組織的に進める。
T1596 — 公開技術情報の収集(OSINT)
T1596 公開技術情報の収集最も防ぐのが難しいのがこのカテゴリです。企業が自ら公開している情報が、攻撃者にシステムアーキテクチャのヒントを与えます。
具体例を挙げましょう。求人票に「AWS, Kubernetes, Terraform の経験者募集」と書けば、攻撃者はクラウド構成をほぼ特定できます。Shodan や Censys によるインターネットスキャン結果には、インターネットに露出したサービスとバージョンが丸見えです。さらに証明書透明性ログ(CT Log)には、会社が発行したすべてのSSL証明書が記録されており、dev-api.example.com や staging.corp.example.com のような開発環境のサブドメインが誰でも確認できる状態になっています。
現代的な防御策(ASMの導入):
- 求人票に現在使用中のセキュリティ製品名・バージョンまで書かない。「セキュリティツールの経験者」程度の表現で十分。
- GitHubでのシークレット(APIキーやクレデンシャル)スキャンツールを CI/CD パイプラインに組み込み常時実行する。
- 外部公開アセットを継続的に監視する ASM ツールを導入し、忘れ去られた開発用サブドメインや「シャドーIT」を早期に発見する。
T1595 — アクティブスキャン
T1595 アクティブスキャン受動偵察で得たサブドメインやIPレンジに対し、実際の脆弱性を裏付けるフェーズです。Nmap のステルススキャン(SYNスキャン)や脆弱性スキャナーを使って、オープンポート・稼働サービスのバージョン(バナーグラビング)を特定します。特に RDP(3389)、SSH(22)、古い VPN アプライアンスのインターフェースは格好の標的です。未パッチのRDP公開サーバーが何件存在するかは、Shodan で検索するだけで即座にわかります。
現代的な防御策:
- Zero Trust Network Access(ZTNA)の導入: 外部から内部への直接ポートアクセス(RDP/SSH)をすべて閉じ、認証済みトンネル経由のみに限定する。
- SIEM で単一IPからの水平ポートスキャンを検知し、エッジルーターやWAFで動的に自動ブロック(Auto-BAN)を実施。頻度が低くても継続的なスキャンは見逃さない相関分析が重要。
- ハニーポットを境界に設置してスキャナーを早期検知し、Tarpit(接続を故意に遅延)で攻撃コストを引き上げる。
ディフェンダー視点のまとめ:ASM が必須の時代
かつて「偵察は防げない」と言われていました。その通り、完全に遮断することはできません。しかし現代のセキュリティプロフェッショナルは発想を転換しています。「攻撃者が見ているのと同じ風景(自社のアセット)を、攻撃者よりも先にスキャンして塞ぐ」 — これがASM(外部攻撃面管理)の核心です。
管理を忘れた「シャドーIT」や「テスト用に立てたまま放置された公開サブドメイン」こそが、偵察フェーズで真っ先に発見され、最初の侵入口(Initial Access)になります。自社の外部アセットを攻撃者の目線でスキャンする習慣を持つことが、防御の第一歩です。
【確認問題】攻撃者が「受動偵察(Passive Reconnaissance)」において、標的のインフラ設定やサブドメインを推測するのに極めて有効な公開情報データベースはどれですか?