MENU
PR 本記事には広告(Amazonアソシエイト・もしもアフィリエイト・A8.net等)が含まれます。掲載情報の正確性には努めていますが、商品の詳細は必ずリンク先で最新情報をご確認ください。
CTF・セキュリティ学習

【パッシブ偵察総まとめ編】気づかれない調査の作法とソース活用|CTF思考フレームワーク R10

かも次郎とアンペンが「パッシブ偵察総まとめ」を解説するマスコットイラスト
安全に生きたい編集部

こんにちは、アンペンです!偵察ルートの最終回R10はパッシブ偵察総まとめ編。R01〜R09で学んだ受動的な情報収集を一枚の地図に束ね、攻撃面管理(ASM)の発想で締めくくります。「対象に触れずに、どこまで分かるのか」——その全体像をつかみましょう。

偵察ルートも、いよいよ最終回。ここまでの集大成として、『パッシブ(受動)偵察』という考え方で全体を束ねます。パッシブ偵察は、いわば名探偵の“机上調査”。現場に踏み込む前に、新聞記事や登記簿や過去の記録を読み込んで、相手の輪郭を描いてしまう。一度も対象に触れていないのに、驚くほど多くが見えてくる——その不思議さと、そこに潜む“落とし穴”を、最後に整理していきましょう。

いろいろ偵察を習ったけど、結局どう組み合わせればいいの?

キーワードはパッシブ(受動)。対象に1パケットも送らず、第三者が持つ公開情報だけで攻撃面を組み立てるんだ。証明書ログ・パッシブDNS・Shodan・Wayback——R01〜R09はぜんぶこの地図の上に乗る。最後に鮮度の裏取りをして、能動検証へ橋渡しするのが流儀だよ。

まず結論

パッシブ偵察とは「対象に直接触れず、第三者が保持する公開情報源から攻撃面を組み立てる技術」。CT log・パッシブDNS・Shodan/Censys・Wayback・Google Dork・GitHub・メタデータ・クラウド露出を束ねて、対象に1パケットも送らずに輪郭を描く。検知されにくく合法性も高いのが強みだが、データは過去のスナップショットなので複数ソースで裏取りし、許可された範囲でのみ能動検証へ橋渡しする。守る側は『公開情報を最小化+古い痕跡を棚卸し+自社を外からOSINTして差分を追う+ASMで仕組み化』

この記事で分かること

  • パッシブ偵察とアクティブ偵察の違いと使い分け
  • 主要な受動情報源の地図(CT log/パッシブDNS/Shodan/Wayback/dork/GitHub)
  • R01〜R09をどう一本の流れに束ねるか
  • 受動情報の「鮮度」と裏取りの考え方
  • 守る側の「外から見える自分を減らす」視点
難易度:入門〜中級 所要時間:12分 体験:自分の資産・CTFのみ おすすめ:R01〜R09の後

📖 はじめてのWebセキュリティR10|パッシブ偵察総まとめ編
受動偵察を一枚の地図に束ね、攻撃面管理の発想で締めくくる。 シリーズ一覧を見る →

⚠️ 大事なお約束
受動偵察は公開情報を読むだけでも、得た情報で実在他人を追跡・特定すればプライバシー侵害です。能動検証(ポートスキャン等)は書面で許可された対象・CTF・自分の資産に限定してください。本記事は防御と学習が目的です。「できる」と「やってよい」は全く別です。

Contents
  1. パッシブとアクティブ:触れるか、触れないか
  2. なぜ触れずに分かるのか
  3. 受動情報は「過去のスナップショット」:鮮度と裏取り
  4. CTFでやってみよう:受動偵察を一枚の地図に統合
    1. R01〜R09を「自分の攻撃面マップ」に束ねる
  5. 守る側:外から見える自分を減らす
  6. まとめ:触れずに描き、裏取りして橋渡し
  7. 次に読みたい記事
  8. 参考資料

パッシブとアクティブ:触れるか、触れないか

  • パッシブ偵察:対象に直接アクセスせず、第三者の公開情報源から集める。検知されにくく、合法性も高い。例:crt.sh・パッシブDNS・Shodan・Wayback・dork・GitHub
  • アクティブ偵察:対象に直接パケットを送る(ポートスキャン・ディレクトリ列挙など)。情報は最新で正確だが、ログに残り検知される。許可が必須
  • 使い分け:まず受動で広く面を描き、優先順位をつけてから、許可された範囲だけ能動で確証する。これが事故を起こさない順序

ここで覚えてほしいのが『受動が先、能動が後』という順番です。なぜこの順番かというと、安全だから。受動偵察は相手に1パケットも送らないので、検知もされず、法的にもグレーになりにくい。だからまず受動で広く面を描き、『ここが怪しい』と当たりを付けてから、許可された範囲だけ能動で確かめます。いきなり能動から入ると、足跡を残すうえ、許可のない相手なら違法になりかねません。“まず机上、それから現場”が、事故を防ぐ鉄則です。

パッシブとアクティブ偵察の比較と、CT log・パッシブDNS・Shodan・Wayback・dork・GitHubの受動情報源マップ
図1:受動で面を描き、許可された分だけ能動で確証

ここで覚える用語:パッシブ偵察(Passive Reconnaissance)
意味:対象システムに直接アクセスせず、第三者が保持・公開している情報源から情報を集める手法。自分は対象に痕跡をほぼ残しません。
例:crt.shで証明書からサブドメインを知る、Shodanで開放ポートを間接的に知る——いずれも対象へ自分からはアクセスしない。
使いどころ:調査の初手として広く面を把握するのに最適。守る側の発想では「そもそも公開情報を減らせば、受動偵察で見える面も小さくなる」が核心です。

なぜ触れずに分かるのか

📚 たとえるなら、図書館とアルバムで人物像を描く

パッシブ偵察は、本人に一度も会わずに図書館の資料だけで人物像を描く作業に似ています。新聞の縮刷版(=Wayback)で過去の動きを追い、卒業アルバム(=CT log)で所属を知り、電話帳(=WHOIS)で連絡先を拾い、街の掲示板(=Shodan)で今どこにいるかを推測する。本人に接触しないのに、輪郭が驚くほど見えてきます。ただし古い資料は今と違うかもしれない。だから複数の資料を突き合わせる『裏取り』が欠かせません。資料が一致して初めて、その像は確からしくなるのです。

本人に会わず縮刷版・アルバム・電話帳・掲示板で人物像を描き裏取りするたとえイラスト
図2:触れずに輪郭を描き、複数ソースで裏取り

ただし、この“机上調査”には、見落としがちな落とし穴があります。それは『情報が古いかもしれない』ということ。次の節では、受動偵察でいちばん大事な“情報の鮮度”について見ていきます。ここを軽く見ると、せっかくの地図が“昔の地図”になってしまうんです。

受動情報は「過去のスナップショット」:鮮度と裏取り

受動偵察で集めた情報には落とし穴があります。多くが過去の記録で、現在と食い違うことがあるのです。古いDNSレコードが残骸として残っていたり、Waybackのページに今は存在しない管理画面パスが写っていたり。これらを鵜呑みにすると誤判断します。受動情報は『仮説』として扱い、複数ソースで突き合わせるのが鉄則です。

ここがプロとアマの分かれ目です。受動で集めた情報は、いわば“過去に撮った写真”。今もそのままとは限りません。たとえば、昔のDNS記録が残っているのに、その向き先のサーバはもう別人のもの——これは前に出てきたサブドメインテイクオーバーの兆候だったりします。だから受動情報は『たぶんこうだろう』という仮説どまりにして、別のソースと突き合わせる。複数の古い写真が同じ姿を映して初めて、『今もそうだ』と言える。この“裏取り”の慎重さが、誤った報告を防ぎます。

ここで覚える用語:鮮度と裏取り(Corroboration)
意味:受動情報源のデータは過去のスナップショットであることが多く、現在と食い違う場合があります。複数の情報源で突き合わせて確証を上げる作業が裏取りです。
例:パッシブDNSの古いAレコードが、現在は別所有者のIPを指す→サブドメインテイクオーバーの兆候かもしれない。Waybackの旧ページに今はないログインパスが残っている。
使いどころ:受動情報は仮説として扱い、許可された範囲で能動確認する。守る側は古い公開情報(DNS残骸・旧ページ)の棚卸しを定期的に行います。

CTFでやってみよう:受動偵察を一枚の地図に統合

やってみよう / 自分の資産・CTFのみ

R01〜R09を「自分の攻撃面マップ」に束ねる

対象は必ず自分が管理する資産かCTFです。すべて受動的な手順で、攻撃者から自分がどう見えるかを一枚にまとめます。各ステップに「どの回の復習か」を添えました。

  1. 自分のドメインをcrt.shでサブドメイン棚卸し → R01:証明書からの受動DNS
  2. 自分の資産をShodan/Censysで外から見える姿を確認 → R02:能動スキャンせず開放ポートを知る
  3. 自サイトの過去版をWaybackで点検し消し忘れページを探す → R05:dork的な受動探索
  4. 自分の技術スタックが外から特定できるか確認 → R03:指紋の露出度
  5. 自分のGitHubをtrufflehog/gitleaksで点検 → R07:コミットのシークレット
  6. 自分の画像/文書をexiftoolでメタ確認 → R08:メタデータの痕跡
  7. cloud_enumで自分のクラウド資産の露出を確認 → R09:バケット等の公開
  8. 集めた情報を資産台帳に統合し、各情報の鮮度を確認 → R06:ASMの発想で全体像
対象は必ず自分の資産・CTFのみ。受動で得た情報で実在他人を追跡しないこと。「できる」と「やってよい」は別です。

では守る側へ。パッシブ偵察の怖さを知った今、防御の発想もシンプルに定まります——『そもそも外から見える自分を減らす』。受動偵察は“公開されている情報”を拾う技術なので、公開している情報そのものが少なければ、描ける地図も小さくなる。次のチェックリストは、攻撃者が読む情報源を一つずつ細らせていく、いわば“見えにくい組織”の作り方です。

守る側:外から見える自分を減らす

パッシブ偵察に強くなる防御チェックリスト
  • 公開情報を最小化:不要なサブドメイン・旧ページ・公開リポジトリを整理する
  • CT logを前提に命名を見直す:証明書から構成が透けることを意識する
  • 古いDNSレコードを棚卸し:サブドメインテイクオーバーの芽を摘む
  • Waybackに残る旧管理画面を把握:現存するなら封鎖・認証強化する
  • GitHub・メタdata・クラウドの露出を継続監査:R07〜R09の対策を運用化
  • ASMを仕組み化:Discover→Inventory→Prioritize→Monitor→Remediateを回す
  • 自社を「外から」定期OSINT:攻撃者と同じ目線で差分を追う
  • 受動で見える=攻撃者の初手:見えるものは必ず狙われる前提で守る
公開情報最小化・古いDNS棚卸し・旧ページ封鎖・露出監査・外からのOSINTの守り側チェックリスト図
図3:外から見える自分を減らす守り側チェックリスト

触れずに描いて、裏取りして、許可された分だけ確証する——偵察の流れが一本につながったよ!

偵察ルートはこれで完走!次は新ルート権限昇格(Privesc)編のP01、Linux権限昇格の基本。侵入後に『一般ユーザーからroot』へ上がる発想と、その守り方を学んでいくよ。

まとめ:触れずに描き、裏取りして橋渡し

今回のポイント
  • パッシブは対象に触れず公開情報で面を描く(検知されにくい)
  • 主要源はCT log・パッシブDNS・Shodan・Wayback・dork・GitHub
  • R01〜R09は一枚の攻撃面マップに束ねられる
  • 受動情報は過去のスナップショット——必ず裏取りする
  • 守りは公開情報の最小化・古い痕跡の棚卸し・外からのOSINT・ASM

今日の持ち帰りは『見えるものは、必ず狙われる』。受動偵察で外から見えるということは、攻撃者にとっての“初手の入口”が見えているのと同じ。だからこそ守りの第一歩は、攻撃者と同じ目線で自分を一度OSINTし、『どこまで見えているか』を知ることです。これでReconルートは完走——お疲れさまでした。次は侵入“後”の世界、権限昇格へ進みます。

偵察ルートはこれで完走です。次は権限昇格(Privesc)ルートへ。侵入後に権限を上げる発想と、その防ぎ方を学びます。

次に読みたい記事

NEXT / P01 Linux権限昇格の基本|一般ユーザーからrootへの発想 → PREVIOUS / R09 クラウド資産編|S3・ECR・メタデータサービスの入口 →

参考資料

📚 CTF・セキュリティ学習ハブへ戻る →
Recommend
こちらの記事もどうぞ
記事URLをコピーしました