MITRE ATT&CKにおける偵察(Reconnaissance)とは。

by | Sep 15, 2025 | Cybersecurity, MITRE ATT&CK, Reconnaissance

Table of Contents
2
3

はじめに

サイバー攻撃といえば、マルウェアの感染やランサムウェアによる暗号化、C2通信といった「攻撃の後半」に注目が集まりがちです。
しかし、攻撃者が実際に侵入を試みる前に必ず行うプロセスがあります。
それが 偵察(Reconnaissance) です。

偵察は、建物に侵入する泥棒が事前に下見をするような行為に例えられます。攻撃者は、標的のネットワークや社員情報、防御体制を事前に収集し、それを基盤として攻撃を設計します。

世界中のセキュリティ運用センター(SOC)で利用される MITRE ATT&CKフレームワーク においても、偵察は攻撃ライフサイクルの最も初期に位置付けられています。
本記事では、この Reconnaissance(偵察)タクティクス を中心に、具体的な技術、実際の事例、検知と防御の方法を解説します。

SOCアナリスト、レッドチーム、CISO、どの立場でも役立つ「攻撃者の第一歩」を深く理解していきましょう。

MITRE ATT&CKにおける偵察とは

偵察の定義

MITRE ATT&CKでは、偵察は次のように定義されています:
「攻撃者が標的に関する情報を能動的または受動的に収集し、攻撃計画を支援するために利用する行為」

つまり、偵察自体は「攻撃」ではなく「情報収集」に過ぎません。
しかし、その情報があればこそ、攻撃者は侵入後に効率的かつ正確に攻撃を展開できます。

攻撃者が狙う情報は大きく以下に分けられます:

  • 技術的情報:IPレンジ、ドメイン、証明書、VPNゲートウェイなど
  • 組織情報:関連会社、サプライチェーン、利用クラウドサービス
  • 人的情報:社員の氏名、役職、メールアドレス、電話番号
  • 防御情報:導入されているEDRやファイアウォール(例:FortiGate、Palo Altoなど)

MITRE ATT&CKにおける位置付け

偵察は エンタープライズ版ATT&CKマトリクスの最上段 にあり、初期アクセスの前段階です。
多くのSOCは「内部での侵入後行動」に注力しますが、実は偵察フェーズを検知できれば「攻撃が始まる前」に対策を打つことが可能です。

MITRE ATT&CKの偵察タクティクスには、T1590〜T1599 などが含まれ、組織・ネットワーク・個人など様々な対象に対する情報収集手法が整理されています。

偵察の代表的なテクニック

以下はATT&CKで定義される偵察テクニックの一部です。

  • T1590: 被害者ネットワーク情報の収集
    • 例:ShodanやCensysで公開されているVPNやRDPサーバーを探索
    • リスク:攻撃対象となるシステムの特定
  • T1591: 被害者組織情報の収集
    • 例:プレスリリースやLinkedInからクラウド利用状況を特定
    • リスク:フィッシングや標的型攻撃をより効果的にする
  • T1592: 被害者ホスト情報の収集
    • 例:求人情報から社内OS(Windows, Linux)の利用を推測
    • リスク:使用するエクスプロイトを最適化可能
  • T1593: オープンWebサイト/ドメイン検索
    • 例:WHOIS、Amassによるサブドメイン列挙
    • リスク:公開資産の洗い出し
  • T1595: アクティブスキャン
    • 例:NmapやMasscanによるポートスキャン
    • リスク:SOCに検知されやすいが精度は高い
  • T1598: 情報取得を目的としたフィッシング
    • 例:アンケートや求人応募を装い、社員情報や資格情報を収集
    • リスク:将来の侵入経路を特定

攻撃者が利用する偵察ツール

  • OSINTツール:Maltego, Recon-ng, theHarvester
  • 検索エンジン/Dork:Google Dork, Shodan, Censys
  • スキャナ:Nmap, Masscan, Nessus
  • ソーシャルエンジニアリング:LinkedInスクレイピング、偽求人メール
  • ダークウェブ調査:漏洩情報や認証情報の入手

実際の事例

  • APT29(Cozy Bear):政府関連組織を狙う際に、長期的な偵察を行いLinkedInやクラウド利用状況を調査。
  • SolarWinds攻撃:サプライチェーン攻撃の前に開発環境の偵察を徹底的に実施。
  • 金融機関事例:VPNゲートウェイへのスキャンが数週間続き、Shodanクエリの痕跡から偵察活動を特定。

偵察の検知方法

偵察は「外部」で行われることが多く検知が困難ですが、以下の対策が可能です:

  • ネットワーク監視:異常なDNSクエリ、大規模なポートスキャン検知
  • EDR監視:内部端末でのNmap利用、PowerShellによるAD列挙
  • SIEM(例:Splunk):失敗したログイン試行、異常な外部IPのアクセス傾向
  • 脅威インテリジェンス:ShodanやMasscan由来のスキャンIPを監視リストに追加

偵察に対抗する防御戦略

  • 能動的防御:ハニーポットや偽ユーザーを設置し攻撃者を混乱させる
  • 社員教育:SNSへの過度な情報公開を制限、フィッシング訓練
  • 技術的対策:不要ポートの閉鎖、MFA導入、WAF/IDSによるスキャンブロック
  • レッドチーム演習:偵察を模倣して検知能力を検証

偵察と他タクティクスの違い

  • 偵察:攻撃前の情報収集
  • 初期アクセス:脆弱性やフィッシングを通じた実際の侵入
  • リソース開発:攻撃インフラ構築や認証情報購入

偵察は「攻撃準備」であり、後続フェーズの成功可否を左右します。

組織が取るべきベストプラクティス

  • 外部攻撃面の継続的監視(ASM)
  • SOARによるアラート自動処理
  • 定期的なレッドチーム演習
  • 失敗ログインの徹底分析
  • 偵察対応プレイブックの整備

まとめ

偵察は「ただの情報収集」と見なされがちですが、実際にはサイバー攻撃の 最重要フェーズ です。
攻撃者が何を知っているかによって、初期アクセスの成功率や攻撃の効率が大きく変わります。

MITRE ATT&CKフレームワークを活用すれば、偵察活動を体系的に理解し、防御戦略に組み込むことができます。
偵察段階での検知と阻止は、攻撃全体を未然に防ぐ最良の手段です。

攻撃者の最初の一手を見逃さず、防御側が先手を取ることこそが真のセキュリティ強化につながります。