フットプリントと偵察

フットプリントとは、ターゲットシステムに関する情報を収集するプロセスを指します。これは攻撃の最初のステップであり、攻撃者は標的について可能な限り多くのことを学び、システムに侵入する方法を見つけようとします。

フットプリントの種類

フットプリントには2つのタイプがあります。

• パッシブフットプリント
• アクティブフットプリント

パッシブフットプリントとは、ターゲットと直接対話することなく情報を収集することを意味します。このタイプのフットプリントは、情報収集をターゲットが検出してはならない場合に使用されます。

アクティブフットプリントとは、ターゲットと直接対話して情報を収集することを意味します。このタイプのフットプリントでは、ターゲットが情報収集に気付く可能性があります。

攻撃者はフットプリントを使用して次の情報を収集します。

• ネットワーク情報
  
  
  
  • ドメイン
  
  
  • サブドメイン
  
  
  • IPアドレス
  
  
  • WhoisとDNSレコード
  
  
• システムインフォメーション
  
  
  
  • Webサーバーのオペレーティングシステム
  
  
  • サーバーの場所
  
  
  • ユーザー
  
  
  • パスワード
  
  
• 組織情報
  
  
  
  • 従業員情報
  
  
  • 組織の背景
  
  
  • 電話番号
  
  
  • 場所
  
  

フットプリントの目的

フットプリントの目的は次のとおりです。

• 
  

  セキュリティ態勢を学ぶターゲットのセキュリティ態勢を分析し、抜け穴を見つけ、攻撃計画を作成します。

• 
  

  重点分野を特定するさまざまなツールと手法を使用して、IPアドレスの範囲を絞り込みます。

• 
  

  脆弱性の発見収集した情報を使用して、ターゲットのセキュリティの弱点を特定します。

  
  
• 
  

  ネットワークをマッピングするターゲットのネットワークをグラフィカルに表現し、攻撃中のガイドとして使用します。

情報を収集する方法と場所

ターゲットに関する情報を収集するために使用できるツールやオンラインリソースはたくさんあります。

検索エンジンとオンラインリソース

検索エンジンを使用して、ターゲット組織に関する情報を抽出できます。検索結果には、標的組織の従業員、イントラネット、ログインページ、および攻撃者に役立つ可能性のあるその他の情報に関する情報を含めることができます。

検索エンジンを使用して情報を収集する1つの方法は、グーグルハッキング技術を利用することです。

Googleハッキングは、攻撃者が複雑な検索を実行し、ターゲットに関する重要な情報を抽出するために使用する手法です。これには、一連の検索演算子の使用と複雑なクエリの作成が含まれます。グーグルのハッキングで使用される演算子は、ドークと呼ばれます。

Whois、IPジオロケーション、およびDNS問い合わせ

誰が

Whoisは、割り当てられたインターネットリソースに関する情報を取得するために使用されるクエリおよび応答プロトコルを指します。

Whoisデータベースには、ドメイン所有者の個人情報が含まれており、地域インターネットレジストリによって管理されています。

存在するデータモデルには2つのタイプがあります。

• 厚いwhois
• 薄いwhois

厚いwhoisには、指定されたデータセットのすべてのレジストラからのすべての情報が含まれています。 Thin whoisには、指定されたデータセットに関する限られた情報が含まれています。

通常、Whoisクエリの結果には次のものが含まれます。

• ドメインの詳細
• ドメイン所有者の詳細
• ドメインサーバー
• ネット範囲
• ドメインの有効期限
• 作成日と最終更新日

whoisデータベースを維持する地域インターネットレジストリには、次のものが含まれます。

• ARIN（インターネット番号のアメリカレジストリ）
• AFRINIC（アフリカネットワークインフォメーションセンター）
• APNIC（アジア太平洋ネットワーク情報センター）
• RIPE（Reseaux IP Europeens Network Coordination Center）
• LACNIC（ラテンアメリカおよびカリブ海ネットワーク情報センター）

IPジオロケーション

IPジオロケーションは、国、都市、郵便番号、ISPなどのターゲットに関する位置情報を見つけるのに役立ちます。この情報を使用して、ハッカーはターゲットに対してソーシャルエンジニアリング攻撃を実行できます。

DNS問い合わせ

DNSフットプリントとは、ネットワーク内の主要なホストに関する情報を含む、DNSゾーンデータに関する情報を収集することを指します。

DNS問い合わせツールは、攻撃者がDNSフットプリントを実行するのに役立ちます。攻撃者はこれらのツールを使用して、サーバーの種類とその場所に関する情報を入手できます。

メールフットプリント

電子メールのフットプリントとは、電子メールの配信を監視し、ヘッダーを検査することによって、電子メールから情報を収集することを指します。

電子メールのフットプリントを通じて収集される情報には、次のものが含まれます。

• 受信者のIPアドレス
• 受信者のジオロケーション
• 配送に関する情報
• 訪問したリンク
• ブラウザとOSの情報
• 読書の時間

電子メールヘッダーには、送信者、件名、および受信者に関する情報が含まれています。このすべての情報は、ハッカーが標的を攻撃することを計画しているときに役立ちます。

電子メールヘッダーに含まれる情報は次のとおりです。

• 送信者名
• 送信者のIP /メールアドレス
• メールサーバー
• メールサーバー認証システム
• 発送・配達切手
• メッセージの一意の番号

さまざまな追跡ツールを使用して電子メールを追跡することも可能です。電子メール追跡ツールには、電子メールを追跡し、そのヘッダーを検査して有用な情報を抽出する機能があります。送信者には、受信者によって配信および開封された電子メールが通知されます。

ウェブサイトのフットプリント

Webサイトのフットプリントは、ターゲットのWebサイトを監視することによってターゲットに関する情報を収集する手法です。ハッカーは、気付かれることなくターゲットのWebサイト全体をマッピングできます。

ウェブサイトのフットプリントは、以下に関する情報を提供します。

• ソフトウェア
• オペレーティング・システム
• サブディレクトリ
• 連絡先
• スクリプトプラットフォーム
• クエリの詳細

Webサイトのヘッダーを調べることにより、次のヘッダーに関する情報を取得できます。

• コンテンツタイプ
• Accept-Ranges
• 接続ステータス
• 最終変更情報
• X-powered-by情報
• Webサーバー情報

情報を収集する追加の方法は、HTMLソースコードとCookieの検査です。 HTMLソースコードを調べることで、コード内のコメントから情報を抽出したり、リンクや画像タグを観察してファイルシステムの構造を理解したりすることができます。

Cookieも、サーバー上で実行されているソフトウェアとその動作に関する重要な情報を明らかにする可能性があります。また、セッションを検査することにより、スクリプトプラットフォームを特定することができます。

ウェブサイトのフットプリントを支援するように設計されたプログラムがあります。これらのプログラムはWebスパイダーと呼ばれ、特定の情報を検索するためにWebサイトを系統的に閲覧します。この方法で収集された情報は、攻撃者がソーシャルエンジニアリング攻撃を実行するのに役立ちます。

ウェブサイトのクローン作成

ウェブサイトのミラーリングまたはウェブサイトのクローン作成とは、ウェブサイトを複製するプロセスを指します。 Webサイトをミラーリングすると、サイトをオフラインで閲覧したり、Webサイトで脆弱性を検索したり、貴重な情報を見つけたりするのに役立ちます。

Webサイトには、攻撃の実行に分析および使用できる隠し情報とメタデータが含まれている可能性のある、さまざまな形式のドキュメントが保存されている場合があります。このメタデータは、さまざまなメタデータ抽出ツールを使用して抽出できるほか、攻撃者がソーシャルエンジニアリング攻撃を実行するのに役立ちます。

ネットワークフットプリント

ネットワークフットプリントとは、ターゲットのネットワークに関する情報を収集するプロセスを指します。このプロセス中に、攻撃者はネットワーク範囲情報を収集し、その情報を使用してターゲットのネットワークをマッピングします。

ネットワーク範囲により、攻撃者はネットワークがどのように構成され、どのマシンがネットワークに属しているかを知ることができます。

Nmap

Nmapは、ネットワーク検出に使用されるツールです。生のIPパケットを使用して、ネットワーク上で使用可能なホスト、それらのホストによって提供されるサービス、それらが実行しているオペレーティングシステム、使用されているファイアウォールタイプ、およびその他の重要な特性を判別します。

Nmapの機能には、大規模なネットワークをスキャンする機能や、ネットワークをマッピングする機能が含まれます。

Traceroute

Tracerouteプログラムは、ターゲットホストへのパス上にあるルーターを検出するために使用されます。この情報は、man-in-the-middle攻撃やその他の関連する攻撃の実行に役立ちます。

Tracerouteは、ICMPプロトコルとIPヘッダーのTTLフィールドを使用してルートを検出します。検出されたルーターのIPアドレスとDNS名を記録します。

tracerouteの結果は、攻撃者がネットワークトポロジ、信頼できるルーター、およびファイアウォールの場所に関する情報を収集するのに役立ちます。これを使用して、ネットワーク図を作成し、攻撃を計画できます。

フットプリント対策

フットプリント対策には、次のものがあります。

• ソーシャルメディアへのアクセスを制限する
• セキュリティポリシーの実施
• セキュリティの脅威について従業員を教育する
• 機密情報の暗号化
• 不要なプロトコルを無効にする
• 適切なサービス構成

フットプリントレポート

フットプリントレポートには、実行されたテスト、使用された手法、およびテスト結果に関する詳細を含める必要があります。また、脆弱性のリストとそれらを修正する方法も含める必要があります。これらのレポートは、悪意のある人の手に渡らないように、機密性を高くする必要があります。