パッシブ偵察 ぱっしぶていさつ
簡単に言うとこんな感じ!
攻撃者が「相手に気づかれずに情報を集める」フェーズだよ! 会社のウェブサイトや求人情報、SNSなどの公開情報だけを使うから、ターゲット側のログにはほぼ残らないんだ。泥棒が下見をするとき、家のドアを触らずに外から観察するイメージ!
パッシブ偵察とは
パッシブ偵察(Passive Reconnaissance)とは、攻撃者やセキュリティ調査者が、ターゲットのシステムや組織に直接アクセスすることなく情報を収集する活動のことです。ターゲットのサーバーやネットワーク機器に一切パケットを送らず、すでに公開されている情報だけを活用するため、検知される可能性が極めて低いのが最大の特徴です。
対となる概念にアクティブ偵察(ポートスキャンや脆弱性スキャンなど、直接通信を行う情報収集)があります。パッシブ偵察はサイバー攻撃の最初のフェーズ(フットプリンティング)として位置付けられており、攻撃者はここで得た情報を元に、後続の攻撃計画を立てます。
セキュリティの観点では、自社がどのような情報を外部に公開しているかを把握するために、防御側もパッシブ偵察の手法を活用します。「攻撃者から自社がどう見えるか」を把握することは、セキュリティ対策の第一歩といえます。
攻撃者が使う主な情報収集手段
| 手段 | 概要 | 取得できる情報の例 |
|---|---|---|
| WHOIS検索 | ドメイン登録情報の照会 | 組織名・連絡先・登録者・ネームサーバー |
| DNS調査 | DNSレコードの参照 | IPアドレス・メールサーバー・サブドメイン |
| Shodan / Censys | インターネット上の機器を自動索引するサービス | 公開ポート・サービスバナー・OS情報 |
| Google Dork | 検索エンジンの高度な演算子を使った検索 | 設定ファイル・ログファイル・隠しページ |
| SNS・求人サイト | LinkedInやIndeed等の公開情報 | 使用技術スタック・組織構造・担当者名 |
| 証明書透明性ログ | TLS証明書の発行記録(crt.sh等) | サブドメイン一覧・組織名 |
| Wayback Machine | 過去のウェブサイトのアーカイブ | 旧システム情報・削除済みページ |
| GitHub等のリポジトリ | 公開コードの調査 | APIキー・設定ファイル・内部ホスト名 |
「OSINT」との関係
パッシブ偵察で使われる手法の多くは OSINT(オシント:Open Source INTelligence=オープンソースインテリジェンス) と呼ばれる公開情報収集の技術と重なります。OSINTはもともと情報機関や軍事分野の用語で、「公開情報を組み合わせて有用な情報を得る」活動全般を指します。サイバーセキュリティの文脈では、攻撃・防御の両方でOSINTが活用されます。
Google Dorkの具体例
# 設定ファイルを探す
site:example.com filetype:env
# ログインページを探す
site:example.com inurl:admin
# パスワードが記載されたファイルを探す
site:example.com filetype:txt "password"歴史と背景
- 1990年代後半〜2000年代初頭:インターネットの普及とともに、WHOISやDNSを利用した情報収集が攻撃の前段として認識されるようになる
- 2000年頃:セキュリティコンサルタントの Johnny Long が Google を使った情報収集手法「Google Dork」を体系化し、公開データベース「Google Hacking Database(GHDB)」を構築
- 2003年:CEH(認定倫理ハッカー) 資格のカリキュラムにフットプリンティング・偵察フェーズが正式に組み込まれる
- 2009年:インターネット接続機器の検索エンジン Shodan が公開され、パッシブ偵察の精度が飛躍的に向上
- 2010年代:SNSの普及により、LinkedInなどから従業員の技術スタックや組織図が容易に入手できる状況が生まれる
- 2013年:証明書透明性(Certificate Transparency)ログが導入され、TLS証明書発行記録からサブドメインを網羅的に収集できるようになる
- 2020年代:OSINT自動化ツール(Maltego・Recon-ng・SpiderFoot等)の高度化により、個人でも短時間に大量の情報を収集できる環境が整う
パッシブ偵察 vs アクティブ偵察
サイバー攻撃の偵察フェーズは大きく2種類に分類できます。両者の違いを正しく理解することが、ログ監視やセキュリティ対策の設計に直結します。
| 比較項目 | パッシブ偵察 | アクティブ偵察 |
|---|---|---|
| ターゲットへの通信 | なし | あり |
| 検知リスク | 極めて低い | 中〜高 |
| 取得できる情報の精度 | 公開情報に限定 | より詳細・最新 |
| 法的リスク | 低い(公開情報のみ) | 無許可では不正アクセス罪に該当しうる |
| 主な利用フェーズ | 攻撃計画の初期段階 | 攻撃計画の詳細化段階 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 3912 | WHOISプロトコルの仕様(ドメイン・IPアドレス登録情報の照会) |
| RFC 1034 | DNS(ドメインネームシステム)の概念と機能の定義 |
| RFC 1035 | DNS実装と仕様(Aレコード・MXレコード等の構造) |
| RFC 6962 | 証明書透明性(Certificate Transparency)ログの仕様 |
関連用語
- OSINT — 公開情報を組み合わせてインテリジェンスを得る情報収集の手法・概念
- アクティブ偵察 — ターゲットに直接通信してポートや脆弱性を調べる偵察手法
- フットプリンティング — 攻撃準備段階における情報収集活動全体を指すセキュリティ用語
- ポートスキャン — 対象ホストの開放ポートを調べるアクティブ偵察の代表的な手法
- ペネトレーションテスト — 許可を得た上でシステムへの侵入を試みるセキュリティ評価手法
- 脅威インテリジェンス — 攻撃者の手法・動向に関する情報を収集・分析して防御に活かす活動
- DNS — ドメイン名をIPアドレスに変換するインターネットの名前解決システム
- ソーシャルエンジニアリング — 人間の心理や行動を利用して情報を騙し取る攻撃手法