【ドメインOSINT編】WHOIS・パッシブDNS・証明書から組織を読む｜CTF思考フレームワーク #70

広告・PRを含みます。この記事にはアフィリエイトリンクが含まれます。掲載内容は編集方針に基づいて作成していますが、価格・在庫・キャンペーン内容はリンク先で最新情報を確認してください。

ドメインから組織のこと、どれくらいわかるの？🌐

意外と深く。WHOIS（所有者）、パッシブDNS（過去のサブドメイン履歴）、SSL証明書透明性ログ（証明書発行履歴）、JARM/JA3 フィンガープリント――数百のサービスから組織のインフラ全体像が浮かび上がります。

ドメインOSINT は、対象組織のインフラを公開情報から把握する技術。WHOIS、パッシブDNS（VirusTotal・RiskIQ・SecurityTrails）、SSL 証明書透明性ログ（crt.sh）、ASN 情報、JARM/JA3 フィンガープリント――組織のITインフラの全貌が、外から見えます。

外部から組織のIT資産が全部見えるって、防御側も知っておくべきだね。

この記事は、CTF思考フレームワーク第70回。ドメインOSINT の代表的手法（WHOIS・パッシブDNS・CT log・JARM）と、攻撃面の発見・自社の外部からの見え方点検、ASM（Attack Surface Management）の発想を整理します。

🏢 ドメインとインフラのOSINTは「組織の輪郭」を描く調査。WHOIS・DNS・CT log・ASN。これらを横断して攻撃面と組織構造を浮かび上がらせます。

ドメイン・インフラOSINTはRecon編とも重なりますが、こちらは「攻撃のため」より「組織の理解・脅威インテリジェンス・棚卸し」観点。SOC・CTI・M&Aデューデリで実務直結。

ドメインOSINTは「組織のデジタル足跡」を辿る作業。攻撃面の地図を描く🌐

👀 観察フェーズ：まず何を見る？

基本フロー: WHOIS → DNS → サブドメイン列挙 → 証明書ログ → IPレンジ🔍

対象組織のドメイン・サブドメイン・IPレンジ・関連企業を多面的に観察。WHOIS、DNS、CT log、Shodan、BGP/ASN を横串で見ます。

• WHOIS（登録者・登録日・連絡先メール）
• DNS（A/AAAA/MX/TXT/SPF/DMARC/DKIM）
• CT log（証明書透明性ログ）
• Shodan / Censys / FOFA（公開ホスト）
• BGP / ASN（ネットワーク所有者）
• GitHub / クラウド資産（前章Recon編とも重なる）

サブドメイン1つから組織のクラウド構成や開発環境まで透けることがあるんだね😲

🤔 仮説フェーズ：攻撃者は何を考える？

ドメインOSINTの4視点。

🕶️ 攻撃者・調査者は「公開DNSに足跡が残っている」「証明書を発行するとCT logに永久に残る」「Shodanのバナーが組織の利用ソフトを暴露する」と発想。これらを全部並べると、組織のITフットプリントの輪郭がほぼ完成します。

📜 仮説①：WHOIS情報

登録者情報・登録日・レジストラ。GDPR以降は匿名化が進んだが、過去履歴は残る。

🌐 仮説②：DNSレコード

A/AAAA/MX/TXT/SPF/DMARCから利用クラウド・メールサービス・送信元制限を推測。

🔍 仮説③：サブドメイン列挙

crt.sh・subfinder/amassで潜在的攻撃面を発見。dev.やstaging.は宝箱。

📡 仮説④：IPレンジとSPN

ASN・CIDRから組織が借りるレンジを特定。クラウドVPC外のレガシー資産を発見。

ドメイン情報は「ペネトレーションテストの最初の3割」を占める基本💡

🔬 検証フェーズ：どうやって確かめる？

ツール: whois / dig / amass enum -d target / crt.sh / SecurityTrails / Shodan🧪

crt.shでCTログ検索、Shodan/Censysでバナー、SecurityTrailsで履歴DNS、Hurricane ElectricでBGP。Wayback Machineで過去のドメイン状態。

# CT log検索
curl "https://crt.sh/?q=example.com&output=json"

# サブドメイン列挙
amass enum -d example.com
subfinder -d example.com

# Shodan
shodan domain example.com
shodan search "ssl.cert.subject.cn:example.com"

# 履歴DNS
# securitytrails.com / dnshistory.org

crt.shで期限切れ証明書も含む全履歴が見られるのが強いよね💡

⚔️ 攻撃フェーズ：実際の手口

ドメインOSINT実践3手法。

典型ワークフロー：①CT logでサブドメイン発掘、②Shodanで公開ホスト棚卸し、③DNS TXT（SPF/DMARC）で関連サービス発見、④WHOIS連絡先で関連ドメイン発見、⑤ASN/BGPで自己ネットワーク特定。

# パイプ連鎖の例
subfinder -d example.com -silent | httpx -silent | nuclei -t cves/

# DMARCで関連サービス特定
dig +short TXT example.com
# v=spf1 include:_spf.google.com include:salesforce.com ...
# → Google Workspace + Salesforce 利用が確定

CT logは「過去に発行した証明書を全部記録する」ので、公開停止したサブドメインも10年後まで見えます。「内部用にうっかりLet’s Encrypt」が組織の最大級漏洩源だったりします📜

🛡️ 防御フェーズ：どう守る？

ドメインOSINT対策の3鉄則！

組織側の対策：「自社のOSINT表面を継続把握」「不要DNSレコードを掃除」「内部用ドメインは独自CA / プライベート証明書」「クラウド資産の棚卸し」。

• CT log監視（不審な証明書発行検知）
• DMARC強制（spoofing対策）＋関連ドメイン棚卸し
• 内部用ドメインに パブリック証明書を発行しない
• EASM/ASMツールで継続的攻撃面管理
• クラウド資産のtagging / inventory
• 退役ドメイン・サブドメインの即時撤去（dangling DNS対策）

「自分のドメインを攻撃者目線で見る」のが最強の対策💪

🧪 OSINT専用の使い捨て環境

OSINT調査を「される側」にしないためにも、調査ボックスを分けるのがプロの作法です。💻 ConoHa VPSならコマンドひとつで使い捨ての調査環境を作れ、安全な環境を用意できます。

PR / 広告

※ 上記は他社サービスへのリンクです。購入は各自でご判断ください。

⚠️ よくある落とし穴

1. 「サブドメインは見えない」と思って公開証明書を内部用に発行
2. WHOIS匿名化を「これでバレない」と過信（履歴に残る）
3. DMARC ポリシーを reject にせず spoof放置
4. クラウド退役後のCNAME・サブドメインを掃除せずdangling
5. Shodanで自分の公開資産を定期確認しない
6. SPF include に古いSaaS残置で関連性露呈

🧰 ツール早見表

🎓 本気で学びたい人へ

OSINTや脅威インテリを職業として目指したい方へ。🎓 ササエルはセキュリティ・インフラを体系的に学べるスクールです。

PR / 広告

📚 もっと深く学びたい人へ

体系的に攻撃と防御の両面を学びたいなら『ホワイトハッカー入門 第2版』が分かりやすい入口です📚

📚 次に読みたい

• 画像OSINT編｜CTF思考フレームワーク #69
• OSINT総まとめ編｜CTF思考フレームワーク #71
• SNS・人物OSINT編｜CTF思考フレームワーク #68

✍️ 学んだことを発信する

調査レポートやノウハウをブログでまとめるならConoHa WINGが手軽です。

PR / 広告

⚖️ 大事なお約束

この記事は合法な学習・防御目的での解説です。許可のないシステムへの攻撃は犯罪になります（不正アクセス禁止法ほか）。検証は必ず自分が管理する環境・CTF・公式ハンズオンで行ってください🙏