MENU
PR 本記事には広告(Amazonアソシエイト・もしもアフィリエイト・A8.net等)が含まれます。掲載情報の正確性には努めていますが、商品の詳細は必ずリンク先で最新情報をご確認ください。

【パッシブ偵察総まとめ編】気づかれない調査の作法とソース活用|CTF思考フレームワーク R10

【パッシブ偵察総まとめ編】気づかれない調査の作法とソース活用|CTF思考フレームワーク R10 アイキャッチ画像
安全に生きたい編集部

パッシブ偵察って、相手にバレずに調査するってこと?🕵️

そうです。サーバーに直接アクセスせず、Google・Shodan・Certificate Transparency log・SNS・公開データベースだけで情報を集める。相手のIDSに痕跡を残さない、最初の偵察フェーズの作法です。

パッシブ偵察は、対象サーバーに直接通信せず、第三者の公開データだけで情報収集する技術。Shodan・Censys・Google検索・WHOIS・SNS・公開特許・求人情報・LinkedIn――痕跡を残さず、組織の輪郭を浮かび上がらせます。プロのレッドチーム・APT が最初に行うフェーズ。

広告・PRを含みます。この記事にはアフィリエイトリンクが含まれます。掲載内容は編集方針に基づいて作成していますが、価格・在庫・キャンペーン内容はリンク先で最新情報を確認してください。

相手にバレずに調べる…まさにスパイ作業だね。

この記事は、CTF思考フレームワーク Recon編 R10(総まとめ)。パッシブ偵察の作法と、Shodan・Censys・OSINT framework の使い方、調査ノートの取り方、Recon フェーズの完走ガイドを整理します。

Recon編の締めくくりは「相手に気づかれない調査の作法」。能動的にスキャンを打ち込まなくても、Shodan・Censys・パッシブDNS・公開アーカイブだけで膨大な情報が集まります。バグバウンティのスコープ外調査や脅威インテリの基本でもあります🤫

能動偵察=相手のサーバを叩く、パッシブ偵察=第三者が既に集めた情報を使う。後者は静かで、しかも強力です。

この記事で出てくる言葉

先に意味を押さえておくと読みやすい用語です。

  • CTF: セキュリティの練習問題を解く競技。必ず許可された環境だけで試します。
この記事の難易度

難易度:★★☆(中級) / この枝ルートの記事は、必要な回だけ選んで読めます。

Contents
  1. 👀 観察フェーズ:まず何を見る?
  2. 🤔 仮説フェーズ:攻撃者は何を考える?
  3. 🔬 検証フェーズ:どうやって確かめる?
  4. ⚔️ 攻撃フェーズ:実際の手口
  5. 🛡️ 防御フェーズ:どう守る?
  6. 🧪 自分で検証ラボを作る
  7. ⚠️ よくある落とし穴
  8. 🧰 ツール早見表
  9. 🎓 本気で学びたい人へ
  10. 📚 もっと深く学びたい人へ
  11. 📚 次に読みたい
  12. ✍️ 学んだことを発信する
  13. ⚖️ 大事なお約束

👀 観察フェーズ:まず何を見る?

パッシブの強みは「対象に気づかれない」「過去にさかのぼれる」「自社では取得困難な広域情報が取れる」の3点。

🤔 仮説フェーズ:攻撃者は何を考える?

攻撃者は「対象のパケットを 1 つも飛ばさずに、どこまで内部構造を推定できるか」をゴールに置きます。Shodan・Censys で過去にインデックスされた banner を見れば、稼働中の OS・ミドルウェア・自己署名証明書の CN まで推定でき、Certificate Transparency log から `dev.`・`staging.`・`vpn.` といったサブドメインを掘り起こせます。さらに、求人票の「使用技術スタック」や GitHub の `Dockerfile` ベースイメージから利用フレームワークを当て、SecurityTrails のパッシブ DNS で歴代の IP 変遷を追えば、移行漏れの旧サーバが残っていないかも仮説立てできます。能動偵察に入る前にここまで詰めることで、後の打ち手が一発で当たる確率が跳ね上がります。

パッシブ偵察は「広く・深く・静かに」の3拍子。能動偵察前の準備として欠かせません。

🔬 検証フェーズ:どうやって確かめる?

実務では情報源を順番に重ねます。まず crt.sh と Censys の証明書検索で `%example.com` を引き、ホスト名一覧を作ります。次に SecurityTrails と VirusTotal のパッシブ DNS で過去 A レコードを取得し、Wayback Machine の `waybackurls` でアーカイブ済み URL を全件抽出します。Shodan は `org:”Example Inc”` と `ssl.cert.subject.cn:example.com` を併用し、退役したはずの IP に残るバナーを拾います。最後に BGP.he.net で ASN を確認し、関連会社・買収先の IP レンジまでスコープを広げると、本体だけ見ていたら気づかない攻撃面が見えてきます。各情報源を CSV に落として ASN・ホスト名・最終観測日でジョインするのが、混乱せずに進めるコツです。

⚔️ 攻撃フェーズ:実際の手口

ある攻撃者は対象企業に 1 パケットも投げず、3 日かけて Shodan・CT log・GitHub の三点だけを掘りました。CT log で発見した `jenkins.dev.example.com` が現在は DNS から消えていても、SecurityTrails で過去 IP が `203.0.113.42` だったと判明し、Shodan で同 IP に Jenkins の古いバナーが残っていることを確認します。続いて GitHub の Code Search で `example.com Jenkinsfile` を検索すると、社員個人のリポジトリに credentials.xml が含まれており、ここから初期パスワードの命名規則を推定。本番偵察に入る頃には、攻撃者は「どこを叩けば成功するか」をほぼ確信した状態でフェーズを切り替えます。痕跡を一切残さずプロファイルを完成させる、これがパッシブ偵察の怖さです。

CTF{passive_recon_leaves_no_footprint}

パッシブ偵察は「歴史と広さ」が武器。能動偵察と組み合わせると一段強力になります。

🛡️ 防御フェーズ:どう守る?

パッシブ偵察に「気づく」のは原理的に難しいため、守る側は「攻撃者と同じ視点で自分を観測する」しかありません。具体的には、月次で Shodan・Censys に自社 ASN と主要ドメインを投げ、想定外のサービスが露出していないかを確認します。CT log は crt.sh の RSS や Cero などで監視し、未登録のサブドメイン証明書が発行された瞬間にアラートする仕組みを組みます。退役資産は DNS から消すだけでなく、IP・証明書・S3 バケットまで完全に削除しないと Wayback と Shodan に残り続けます。ワイルドカード証明書を採用し、社員個人 GitHub での社内ドメイン言及を DLP で検知する運用まで揃って、初めてパッシブ耐性のある組織になります。

🧪 自分で検証ラボを作る

Reconコマンドを安全に試すには、自分専用の検証ラボが一番。🏗️ ConoHa VPSなら月額数百円からLinux環境を立てられ、nmapやgobusterなどのツールを「自分のサーバ」に打ち込んで安全に試せます。

PR / 広告

ConoHa VPS

※ 上記は他社サービスへのリンクです。購入は各自でご判断ください。

⚠️ よくある落とし穴

パッシブ偵察に対する誤解の多くは「公開してないから大丈夫」という思い込みです。robots.txt の `Disallow` 行はむしろ「隠したいパスのリスト」として攻撃者に読まれます。サイト移行で DNS を切り替えただけでは、旧 IP に直接アクセスすれば古いコンテンツが返り続けます。証明書はワイルドカードを使わずに発行するたび、CT log にホスト名が永続的に刻まれます。Shodan で自社の露出を一度も確認したことがない組織、子会社の IP レンジを攻撃面に含めていない組織は、自分の足元を攻撃者より知らない状態で運用していることになります。

  1. 「robots.txtで除外してるから安全」と思い込む(むしろヒントになる)。
  2. 過去に公開した社員名簿・組織図のWayback版を放置。
  3. 移行時に旧サイトをDNSで切り替えただけで、IP直叩きで旧コンテンツが残る。
  4. Shodanで自社が「何を露出しているか」を一度も確認していない。
  5. 子会社・買収先の資産も「自社の攻撃面」と認識していない。
  6. 証明書発行時にワイルドカード未使用で、サブドメイン名がCT logに直露出。

🧰 ツール早見表

パッシブ偵察の道具は「広く」「深く」「過去まで」の 3 軸で揃えると抜けがなくなります。Shodan・Censys・FOFA は広域スキャンの結果を API で引けるので、自動化と組み合わせると強力です。SecurityTrails は歴代 IP・サブドメインの追跡に欠かせず、DNS 変更の痕跡まで遡れます。Wayback Machine と waybackurls は消されたページの発掘に効き、VirusTotal は WHOIS・パッシブ DNS・関連ドメインを 1 画面で束ねてくれます。組織関係を辿るには BGP.he.net や ASNlookup で親会社・買収先まで広げ、Maltego でグラフ化すると関係性が一目で掴めます。

ツール用途ひと言
Shodan / Censys / FOFA広域パッシブスキャンAPIキー取れば自動化可能
SecurityTrailsパッシブDNS履歴過去サブドメイン追跡
Wayback Machine / waybackurls過去スナップショット消された情報の発掘
VirusTotalマルチソース統合パッシブDNS+WHOIS+関連ドメイン
BGP.he.net / ASNlookupネットワーク所有関係関連組織・親会社の発見

🎓 本気で学びたい人へ

Recon・OSINTを絵空事だけで終わらせず、セキュリティエンジニアをキャリアとして目指したい方に。🎓 ササエルは現場で使えるスキルを体系的に学べるスクールです。

PR / 広告

ササエル

📚 もっと深く学びたい人へ

体系的に攻撃と防御の両面を学びたいなら『ホワイトハッカー入門 第2版』が分かりやすい入口です📚

ホワイトハッカー入門 第2版
Amazon
楽天市場
Yahooショッピング

📚 次に読みたい

✍️ 学んだことを発信する

セキュリティブログを自分で始めたい方へ。🌐 ConoHa WINGなら初期費用無料でWordPressを起こせ、学んだことをアウトプットしていけます。

PR / 広告

ConoHa WING

⚖️ 大事なお約束

これでRecon編10本も完走です🎉 偵察は地味ですが、あらゆる攻撃の起点であり、防御の起点でもあります。次のPrivEsc編では「侵入後にどう特権に昇格するか」というポストエクスプロイトの世界に入ります!

Recommend
こちらの記事もどうぞ
記事URLをコピーしました