Table of Contents
偵察フェーズ(Reconnaissance)
偵察フェーズは、サイバーキルチェーンの最初のフェーズであり、攻撃者が標的に関する情報を収集する段階です。攻撃者はここで得た情報をもとに、以降のすべてのフェーズを設計します。いわば攻撃全体の設計図を描く工程です。
このフェーズの最大の特徴は、攻撃者が標的のシステムに一切触れることなく実施できる点です。標的側にほとんど痕跡が残らないため、気づくことが非常に困難です。
偵察手法は大きく2つに分類されます。
パッシブ偵察(Passive Reconnaissance)
標的のシステムに直接アクセスせず、公開情報だけを収集する手法です。標的側にログが残らないため、検知が事実上不可能です。
アクティブ偵察(Active Reconnaissance)
標的のシステムに直接アクセスして情報を収集する手法です。ポートスキャンや脆弱性スキャンが代表例で、ログに痕跡が残る可能性がありますが、攻撃者はVPNやTorを経由して身元を隠すことが多いです。
主な情報収集の手法
1. OSINT(Open Source INTelligence : オシント オープンソース・インテリジェンス)
インターネット上に公開されている情報を体系的に収集・分析する手法です。攻撃者が最初に行う作業であり、驚くほど多くの情報が合法的に入手できます。
主な情報源の例は次のとおりです。
- 企業Webサイト: 組織図、使用技術スタック、採用情報(「AWSエンジニア募集」からクラウド環境が推測できる)
- LinkedIn・X・Facebook: 社員の氏名・役職・メールアドレスのパターン・業務内容
- GitHubなどのコードリポジトリ: うっかりコミットされたAPIキーやパスワード、内部システムの構成情報
- 求人情報: 使用しているソフトウェア・バージョン・インフラ構成が読み取れる
- プレスリリース・IR資料: 導入システムや提携企業の情報
2. WHOIS・DNS情報の調査
ドメインの登録情報やDNSレコードを調べることで、IPアドレスの範囲、サーバーの所在地、使用しているメールサービスなどが判明します。
調査例:
whois example.co.jp→ 登録者情報、ネームサーバー、IPアドレス範囲が判明
dig example.co.jp MX→ メールサーバーの種類(Office 365か、Google Workspaceか)が判明
3. Shodan・Censysによるインターネット公開資産の調査
Shodanは「インターネットに接続されたすべての機器」を検索できるサービスです。企業名やIPアドレスで検索するだけで、外部に公開されているサーバー・カメラ・IoT機器とそのバージョン情報が一覧で確認できます。
攻撃者がShodanで得られる情報の例:
– Apache 2.4.49が動いているサーバー(既知の脆弱性あり)
– デフォルトパスワードのまま公開されたルーター
– SSL証明書の期限切れサーバー
CensysもShodanと同じように「インターネットに接続された機器」を検索できるサービスです。
Censysで得られる情報の例:
– 開放ポートとサービス情報
– TLS/SSL証明書の詳細
– ソフトウェアのバージョン
– 地理情報
4. フィッシング・ソーシャルエンジニアリングによる情報収集
技術的な手法だけでなく、人を騙して情報を引き出すアプローチも偵察の一部です。
- 取引先や採用担当を装った問い合わせメールで、使用システムや担当者名を聞き出す
- LinkedInで偽のリクルーターとして接触し、業務環境の詳細を引き出す
- 標的企業の元社員に接触して内部情報を入手する
5. ポートスキャン・サービス列挙(アクティブ偵察)
外部から標的のサーバーに対してポートスキャンを実施し、どのサービスが稼働しているかを確認します。
nmap -sV example.co.jp→ 開いているポート番号、動作しているサービス名、バージョン番号が一覧で判明
これにより「このサーバーはSSH 7.4で動いている→既知の脆弱性CVE-XXXX-XXXXが使えるかもしれない」という判断につながります。
攻撃者が特に注目する情報
収集した情報の中でも、攻撃者が特に価値を置くものがあります。
| 情報の種類 | 次フェーズへの活用方法 |
| 従業員のメールアドレス形式 | スピアフィッシングメールの送付先リスト作成 |
| 使用ソフトウェアとバージョン | そのバージョンの既知脆弱性を武器化に活用 |
| 組織図・役職情報 | 権限の高い人物を標的にしたBEC(ビジネスメール詐欺)に活用 |
| 取引先・パートナー企業名 | サプライチェーン攻撃の経路選定に活用 |
| VPN・リモートアクセス環境 | 直接侵入経路の特定に活用 |
防御のポイント
偵察フェーズは防御が最も難しいフェーズですが、「攻撃者に渡る情報を減らす」アプローチが有効です。
公開情報の棚卸しと管理
- 自社のWebサイト・SNS・求人情報に掲載している技術情報を定期的に見直す
- GitHubなどのリポジトリにAPIキーや設定ファイルが混入していないか定期的にスキャンする(git-secretsなどのツールを活用)
- 退職した社員のアカウント・メールアドレスを速やかに無効化する
攻撃者と同じ目線で自社を調べる(アタックサーフェス管理)
- 自社に対してOSINTやShodan/Censysを使って「攻撃者から見た自社」を把握する
- 外部公開資産の一覧(インベントリ)を作成・管理し、不要な公開サービスを閉じる
- 定期的なペネトレーションテストで外部から見えている弱点を把握する
ログ監視によるアクティブ偵察の検知
- 外部からの不審なポートスキャンをファイアウォールやIDSで検知する
- 短時間に大量のアクセスが発生した場合にアラートを上げる仕組みを整備する
偵察フェーズを甘く見てはいけない理由
「まだ攻撃が始まっていない段階だから」と偵察フェーズを軽視しがちですが、このフェーズで収集された情報の質が、攻撃全体の成否を決定づけます。精度の高い偵察があってこそ、精度の高いスピアフィッシングメールが作られ、正確に脆弱性を突いた武器が準備されます。
言い換えれば、偵察フェーズで攻撃者に渡る情報を減らすことは、以降のすべてのフェーズを困難にする最上流の防御です。セキュリティ対策を「侵入後の対処」だけでなく、この段階から始めることが重要です。
セキュリティの基礎
- サイバーキルチェーン C2通信フェーズ(Command&Control)
- サイバーキルチェーン インストールフェーズ(Installation)
- サイバーキルチェーン 悪用フェーズ(Expolitation)
- サイバーキルチェーン 武器化フェーズ(Weaponization)
- サイバーキルチェーン 目的達成フェーズ(Actions on Objectives)
- サイバーキルチェーン 配送フェーズ(Delivery)
- サイバーセキュリティ用語10選
- セキュリティの目的 ~機密性/完全性/可用性~
- セキュリティの脅威と対策の概要
- マルウェア ~ユーザにとって有害なソフトウェア~
- 認証の基礎 ~正規のユーザ/デバイスですか?~
- 覚えやすくて推測されにくい安全なパスワードの作り方
- 暗号化の概要
- ハッシュ関数とは
- SSLとは? ~アクセス先は本物です!データは盗聴/改ざんされません!~
- SSLとWi-Fiの暗号化の違い
- ファイアウォールの概要 ~正規の通信のみを転送~
- IDS/IPS ~不正アクセス対策~
- Cisco アクセスコントロールリストの概要
- パケットフィルタ ~不正な通信をブロックするCisco ACLの最も多い用途~
- SPI(Stateful Packet Inspection)の概要
- Cisco ACLによるパケットフィルタの設定と確認
- 標準ACLと拡張ACLのパケットフィルタをより深く理解するための演習 ~標準ACL~
- 名前付きACL(Named ACL)
- タイムベース(Time-based)ACL
- Cisco ACLによるパケットフィルタの設定例
- 標準ACLと拡張ACLのパケットフィルタリングをより深く理解するための演習 ~標準ACL~
- 標準ACLと拡張ACLのパケットフィルタリングをより深く理解するための演習 ~拡張ACL~
- リフレクシブ(Reflexive)ACL ~戻りの通信を自動的に許可~
- リフレクシブ(Reflexive)ACLの設定例
- Catalystスイッチのパケットフィルタリング RACL/VACL/PACL
- RACL/VACL/PACLの設定と確認コマンド
- uRPFの設定例
- VTYアクセス制御
- DHCPスプーフィング ~DHCPサーバを偽装~
- DHCPスヌーピング
- Cisco DHCPスヌーピングの設定と確認コマンド
- Cisco DHCPスヌーピングの設定例
- ARPスプーフィング
- Dynamic ARP Inspection
- Cisco Dynamic ARP Inspectionの設定と確認コマンド
- TCPインターセプトの設定例
- WAF(Web Application Firewall)の概要
- 電子メールのセキュリティ
- サイバーキルチェーンとは?
- サイバーキルチェーン 偵察フェーズ(Reconnaissance)