偵察(リコネサンス)
偵察(リコネサンス) とは何ですか?
偵察(リコネサンス)攻撃の最初のフェーズで、攻撃者が侵入を試みる前に標的の人員・技術・露出に関する情報を収集する活動。
偵察(リコネサンス)は、侵入に先立つ情報収集のフェーズです。MITRE ATT&CK では戦術 TA0043 として定義され、IP レンジのスキャン、LinkedIn からの従業員名の収集、OSINT 収集、DNS 列挙、ペーストサイトでの漏えい資格情報の検索などのテクニックが含まれます。ロッキード・マーティン社のサイバーキルチェーンにおける第 1 段階でもあります。偵察には、すでに公開された情報のみを利用する「受動的偵察」と、標的に直接プローブを送信してテレメトリを発生させる可能性のある「能動的偵察」があります。防御側は、アタックサーフェス管理、デセプション、ブランド監視、テイクダウンサービス、ネットワークログ内の不審なスキャンや列挙の検出によって、偵察の価値を低下させます。
● 例
- 01
企業の GitHub 組織をスクレイピングして、ハードコードされた資格情報や内部ホスト名を探す。
- 02
公開された RDP サーバや認証前バナーを探すために、インターネット全体を大規模にスキャンする。
● よくある質問
偵察(リコネサンス) とは何ですか?
攻撃の最初のフェーズで、攻撃者が侵入を試みる前に標的の人員・技術・露出に関する情報を収集する活動。 サイバーセキュリティの 防御と運用 カテゴリに属します。
偵察(リコネサンス) とはどういう意味ですか?
攻撃の最初のフェーズで、攻撃者が侵入を試みる前に標的の人員・技術・露出に関する情報を収集する活動。
偵察(リコネサンス) はどのように機能しますか?
偵察(リコネサンス)は、侵入に先立つ情報収集のフェーズです。MITRE ATT&CK では戦術 TA0043 として定義され、IP レンジのスキャン、LinkedIn からの従業員名の収集、OSINT 収集、DNS 列挙、ペーストサイトでの漏えい資格情報の検索などのテクニックが含まれます。ロッキード・マーティン社のサイバーキルチェーンにおける第 1 段階でもあります。偵察には、すでに公開された情報のみを利用する「受動的偵察」と、標的に直接プローブを送信してテレメトリを発生させる可能性のある「能動的偵察」があります。防御側は、アタックサーフェス管理、デセプション、ブランド監視、テイクダウンサービス、ネットワークログ内の不審なスキャンや列挙の検出によって、偵察の価値を低下させます。
偵察(リコネサンス) からどのように防御しますか?
偵察(リコネサンス) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
● 関連用語
- defense-ops№ 265
サイバーキルチェーン
標的型侵入が偵察から目的達成までどのように進行するかを 7 段階で示した、ロッキード・マーティン社のモデル。
- compliance№ 687
MITRE ATT&CK
MITRE が維持する、実際の攻撃で観測された攻撃者の戦術・技術に関するグローバルな公開ナレッジベース。
- defense-ops№ 072
アタックサーフェスマネジメント(ASM)
組織をサイバー攻撃にさらすあらゆる資産を継続的に発見・棚卸し・分類・監視する取り組み。
- defense-ops№ 1148
脅威インテリジェンス
脅威と攻撃者に関する、指標・TTP・背景を含むエビデンスベースの知識。セキュリティの意思決定と検知を導くために用いられる。
- defense-ops№ 535
初期アクセス
標的環境への最初の足場を確立するために攻撃者が用いる手法をまとめた MITRE ATT&CK の戦術(TA0001)。
- defense-ops№ 325
探索(MITRE 戦術)
アクセスを得た後に侵害環境を把握するために攻撃者が使う手法をまとめた MITRE ATT&CK 戦術(TA0007)。