第28回WHOISからCTログまで
～攻撃者が最初に行う“ドメイン調査”の実態～

攻撃者が最初に行う“ドメイン調査”とは

「どこから侵入できるのか？」攻撃者はターゲット企業に対してさまざまな調査を行います。その中でも真っ先に行われるのが、ドメイン名を手掛かりにした調査です。企業名がわかれば、ドメイン名（例：example.co.jp）はすぐに特定できます。攻撃者はここから、合法的に公開された断片情報を拾い集め、組み合わせ、入口になり得る弱点を推測していきます。

防御側としては、攻撃者がどのような下調べを行い、それを攻撃の糸口にするのかを知っておく必要があります。

攻撃者の最初の一歩は公開情報の収集

攻撃者が最初に参照するのはWHOISやRDAPという、ドメイン情報の公開データベースです。ここからドメイン名の登録者情報や管理者の連絡先、DNSサーバー名などがわかり、委託先や管理の分担、ホスト名などの命名規則のヒントが得られます。また、担当部署名や個人メールアドレスなどは、ソーシャルエンジニアリングの足掛かりにもなります。

次に調べられるのはDNS情報（主にA / AAAA / CNAME / NS / MX / TXTレコード）です。ここからWebサーバーやメール基盤、利用しているクラウドサービスなどを把握します。TXTレコードからはメールの送信ドメイン認証（SPF / DKIM / DMARC）の設定状況を確認することで、フィッシングメールのなりすまし耐性の推測を行います。

DNSからIPアドレスが判明すれば、ポートスキャンにより開放サービスが調べられます。バナー情報から使用しているアプリケーションやバージョンが特定され、古いソフトウェアが使われていれば、脆弱性が突破口となります。

さらに、SSL / TLS証明書の発行履歴を公開情報として記録する仕組みである CT（Certificate Transparency）ログを調べれば、発行履歴から対象ドメインのサブドメインの存在を知ることができる場合も。結果として、攻撃対象が一気に広がります。

過去の痕跡を拾い集める

現在は適切に管理されているシステムでも、過去の設定や公開内容はインターネット上に記録として残り続けることがあります。攻撃者はそうした痕跡を丹念に拾い集め、侵入のヒントにします。

過去の痕跡は些細なものに思えるかもしれません。しかし、古い環境やその情報だけでも、攻撃者にとってはヒントとして映ることがあります。

メールアドレスと人の弱点

メールアドレスは攻撃者にとって、フィッシングメールの送信先やユーザー名リストを作るための材料になります。問い合わせ窓口や採用ページに記載されたメールアドレス、広報用資料などのPDFに載った連絡先、SNSや名刺管理アプリに登録されたものまで、情報源は数多く存在します。

インターネット上に公開されたメールアドレスは、“@example.co.jp”のように検索エンジンでドメイン名を検索すれば発見することができます。メールアドレスの収集に特化したOSINTツールなどもあり、公開されているメールアドレスを自動的に抽出することも可能です。ダークウェブなどには、過去に使われたメールアドレスとパスワードの組み合わせリストが販売されていることもあり、従業員が利用しているサービスの認証突破に利用される可能性もあります。

ASM^※で“先に見る”

ここまで紹介した公開情報は手作業でも集めることができますが、変化が速いサイバー空間を継続して把握するのは困難です。そこで、外部から見える自社資産（ドメイン / IP / ポート / 証明書 / サブドメイン / Webなど）を自動的に発見・記録・リスク評価し、履歴まで一元管理するのが ASM（Attack Surface Management）という手法です。ASMでは、以下のような対策を実施できます。

自組織において、どのような情報がインターネット上に露出しているのかを、攻撃者よりも先回りしてチェックしておきましょう。

※ASMについては、本誌Vol.100の「【第23回】ASMとは？攻撃者視点で見直すIT資産の見える化とリスク管理」を参照してください。

露出情報の点検リスト

露出情報の中でもドメインなどは公開情報のため、隠しきれるものではありません。だからこそ、見られて困る情報を減らし、見られても破られにくい構えを継続運用に落とし込むことが重要です。攻撃者が最初に見る景色を、守る側が先に把握しておく。これこそが最小の労力で事故を未然に防ぐ近道となります。

（「SKYSEA Client View NEWS Vol.105」 2025年11月掲載）