はじめに
こんにちは、グループ情報セキュリティ統括室の廣瀬です。
ランサムウェアの攻撃は年々増加しています。ニュースで報じられるたびに、「次は自分たちの番だ」という不安が頭をよぎります。攻撃者は企業のインターネット公開資産を偵察し、脆弱な侵入口を探している。この脅威に対抗するには、まず「自社が外部からどう見えているか」を把握することが重要です。
私は前職でセキュリティベンダに所属し、インシデントレスポンスサービスやセキュリティアセスメント、ASA(Attack Surface Assessment)のサービス提供に携わっていました。数多くの企業の「外部からの見え方」を診断してきた経験から、この重要性を強く実感していました。
当室は2024年10月に発足したばかりの新しい組織です。グループ全体のセキュリティ強化という大きなミッションを前に、何から手をつけるべきか。私はこれまでの経験を活かし、ASM1とOSINT2によるセキュリティ評価へ取り組むことにしました。前職でサービスとして提供していたものを、今度は事業会社の内部から継続的かつ深く実践する挑戦です。
ASM・OSINTとは何か
ASMとは、組織がインターネット上に公開している資産(サーバー、ドメイン、API、クラウドサービスなど)を発見し、監視し、評価するプロセスです。 攻撃者の視点から自社の「見え方」を把握することで、潜在的な脆弱性やリスクを特定します。外部公開資産に特化する場合はEASM、スポット的に評価・診断する場合はASAと呼ばれることもありますが、本記事ではASMで統一します。
一方、OSINTは公開されている情報源から収集・分析するインテリジェンス活動です。検索エンジン、DNS情報、SSL証明書、SNS、データ漏洩情報など、誰でもアクセスできる情報を活用して対象組織に関する情報を収集します。つまり、攻撃者が偵察段階で行うことを、防御側である私たちが先回りして実施するわけです。
使用しているツール
私たちの調査では、複数のオープンソースツールを組み合わせています。
| ツール | 用途 |
|---|---|
| BBOT | 統合偵察スキャナー。複数ツールを自動実行し結果を統合 |
| Amass | OWASP提供のサブドメイン列挙ツール |
| theHarvester | メールアドレス・サブドメインの収集 |
| Assetfinder | 高速なサブドメイン検索 |
| Shodan | インターネット接続デバイスの検索エンジン |
| crt.sh | SSL証明書の透明性ログを検索 |
| SpiderFoot | 自動OSINT収集フレームワーク |
前職でもこの中のいくつかのツールを使用していましたが、今回は事業会社として継続的に運用する視点から改善を重ねています。 単一のツールでは見逃してしまう情報も、複数を組み合わせることで網羅的に収集できるようになりました。
BBOTの統合スキャン実行画面。サブドメイン発見、ポートスキャン、技術検出などが自動的に実行される
2つの調査アプローチ
ASM・OSINT調査には、大きく分けて2つのアプローチがあります。
ひとつはドメインを起点とした調査(Outside-In)。企業が保有するドメイン名から出発し、外部から見える資産を網羅的に調査します。調査対象のドメインを特定したら、SSL証明書の透明性ログ、DNS履歴、検索エンジンなど複数のソースからサブドメイン情報を収集します。開発環境やステージング環境など、本番以外の環境が意図せず公開されているケースも多く見つかりました。発見したホストに対してはポートスキャンを実施し、公開されているサービスを特定。さらに技術スタックの推定や、過去のデータ漏洩で流出した認証情報の有無も確認します。
Shodanの検索結果画面。公開ポート、使用技術、地理情報などが確認できる
もうひとつはEDRログを起点とした調査(Inside-Out)。社内に導入しているEDR(Endpoint Detection and Response)から端末のゲートウェイIPアドレスを取得し、そのIPアドレスを起点として調査するアプローチです。実際に使用されているネットワーク出口を把握でき、IT資産台帳に記載のないネットワークの発見にも有効です。拠点ごとのインターネット接続状況を可視化したり、ドメイン調査では見つからないIPベースの公開資産を検出したりできます。
両アプローチを組み合わせることで、「公開している資産」と「実際に使っているネットワーク」の両面から攻撃対象領域を可視化できる。これが私たちの基本的な考え方です。
実際に見つかったリスク
これまでの調査で、予想以上に多くのリスクが見つかりました。
たとえば、本番環境で使用されるHTTP/HTTPS以外のポートで管理画面やAPIが公開されているケース。代替HTTPSポート(8443、9443)を外部公開しているケース。ステージング環境や開発環境がインターネットに公開されているケースもありました。staging.example.com、dev.example.com、qa.example.com—こうしたサブドメインは攻撃者にとって格好のターゲットになります。
特に気をつけているのがレガシープロトコル、VPNのアクセスポイント、BASIC認証画面です。例えば、FTP(21番ポート)は認証情報が平文で送信されますし、SMB(445番ポート)はWannaCryなどのランサムウェアが悪用した経路として知られています。VPNの入口やBASIC認証が残っている管理画面は、ブルートフォース攻撃の標的になりやすい。これらが発見された場合は、早急な対応が必要なリスクとして扱っています。
他にも、既知の脆弱性を持つ古いバージョンのライブラリが使われていたり、IT管理者や役職者のメールアドレスが公開情報から取得可能な状態になっていたりするケースがあります。これらはフィッシング攻撃の標的として悪用される可能性があります。
発見した事項はリスクレベルで分類しています。
| リスクレベル | 説明 | 推奨対応期間 |
|---|---|---|
| CRITICAL | 即座に悪用可能。データ漏洩や侵害のリスクが極めて高い | 即時 |
| HIGH | 悪用される可能性が高い設定ミスや脆弱性 | 1ヶ月以内 |
| MEDIUM | 潜在的なリスクがあるが、悪用には追加の条件が必要 | 3ヶ月以内 |
| LOW | ベストプラクティスからの逸脱。直接的なリスクは低い | 計画的に対応 |
この取り組みで得られたもの
ASM・OSINTを実施してみて、いくつかの気づきがありました。
まず、外部から見た自社のセキュリティ状況を客観的に評価できるようになりました。社内のIT資産管理台帳には載っていない「シャドーIT」の発見にも有効でした。また、ペネトレーションテストの前段階として攻撃対象となりうる資産を特定することで、効率的なセキュリティ評価が可能になっています。
定期的に調査を実施すれば、新たに公開された資産や設定変更による意図しない公開を検知できます。そして何より、自社の攻撃対象領域を把握しておくことで、万が一インシデントが発生したときの影響範囲の特定や原因調査を迅速に行えるようになります。これは大きな安心材料です。
実施にあたって悩んだこと
ただ、調査を進める中で悩んだ点もあります。
法的・倫理的な配慮は常に意識しています。調査対象は自社または許可を得た組織に限定しなければなりません。ポートスキャンなどの積極的なスキャンは対象システムに負荷をかける可能性があるため、受動的な調査にとどめるなど工夫が必要です。発見した脆弱性の取り扱いにも十分な注意が求められます。
調査範囲の明確化も難しい問題でした。グループ会社や関連会社をどこまで含めるか。調査対象のドメイン・IPアドレス範囲を事前に定義しておかないと、意図せず他社の資産をスキャンしてしまうリスクがあります。
今後の展望
現在、個別の調査ではLLMを活用し、収集したデータの分析やレポート作成の効率化を図っています。
しかし、当社はグループ会社も含めて多数のドメインを保有しており、すべてを手動で調査・管理するには限界があります。正直なところ、人手が足りない。そこで次のステップとして、AIエージェント(エージェンティックAI)を活用したASMの自動化に取り組んでいます。AIエージェントが自律的にツールを実行し、結果の分析からレポート作成までを一貫して処理する仕組み—まだ構築途中ですが、少しずつ形になってきています。
おわりに
ランサムウェアをはじめとするサイバー攻撃から組織を守るには、攻撃者と同じ視点で自社を見ることが重要です。ASMは、従来の内部監査では見落としていた外部公開資産のリスクを発見する有効な手段だと実感しています。
当室では、グループ全体のセキュリティ強化に向けてASM・OSINTを継続的に実施し、発見したリスクの改善を推進しています。完璧にはまだ程遠いですが、一歩ずつ前に進んでいるところです。
複数のドメインやサブドメインを運用している組織、M&Aにより複数の企業システムを統合した組織、開発・ステージング環境を多数運用している組織、こうした環境にある方には、同様の取り組みをお勧めします。攻撃者よりも先に自社の弱点を発見し、対策を講じること。それがサイバー攻撃への最善の備えになると信じています。
