先月、米国で病院経営を手掛けるCommunity Health Systemsが、中国からのサイバー攻撃を受け、450万人分の患者情報が流出したとのニュースは記憶に新しいところです。有識者の見解によると、攻撃グループは、Dynamite Panda（Mandiant社の呼称ではAPT18）と見られています。報道内容によると、侵入の発端は、VPN装置のOpenSSLの脆弱性（Heartbleed）を突き、認証情報を盗み、VPNでリモートログインしたようです。
さて、ここで一つ疑問があります。攻撃者は、どのようにしてVPN装置の存在、そのIPアドレスを知ったのでしょうか。

ここからは攻撃者の目線になって、仮のドメイン（example.co.jp）を侵入ターゲットとし、偵察行為をしてみます。まず、example.co.jpのDNSレコード（NS/MX/A）を引いてみます。Aレコードは、wwwだけでなく、www2、ftp、test、support、vpnなど、FQDNとしてよく使いそうなホスト名を付与して正引きをトライして探します。または、Googleなどの検索エンジンで、site:example.co.jp　といったキーワードで検索することで、当該ドメインで検索エンジンに登録されたWebサイトを検索することができます。このような偵察行為は、手作業で一回ずつ実行しても良いのですが、MaltegoのようなOSINTツール（オープンソース・インテリジェンス・ツール）を使えば、容易く実行することができます。（図１）

図１　MaltegoでDNSレコードを偵察した結果イメージ
（実在するドメインに関する情報ではありません）

図１では、vpn.example.co.jpという攻撃者にとって興味深いホストが見つかった想定です。もしここで侵入口となるVPN装置が見つからない場合でも、もう少し深掘りできます。図１で見つかったDNSレコードを正引きし、IPアドレスへ変換します。それらのIPアドレスが所属するネットブロック内で、ひたすら逆引きし、当該ドメインに所属するDNSレコードを探します。Maltegoを使うと、図１で見つからなかったDNSレコードが見つかり、その中には、wwwtest、remote-accessなど、攻撃者の侵入口となる可能性があるホストが見つかります。（図２）

図２　Maltegoを使ってネットブロックからDNSレコードを探索
（実在するドメインに関する情報ではありません）

ところで、権威DNSサーバ側で、ゾーン転送の要求元を制限していない場合、上記のようなアプローチを取らなくても、図３のように、存在するホストと、そのIPアドレスを全て知ることができるのは多くの方がご存知でしょう。しかし、ゾーン転送以外にも、ターゲット組織が所有しているVPN機器などの所在を知る術があることは認識しておく必要があります。

図３　ゾーン転送が可能になっているドメインに対するdigコマンドの結果

標的型攻撃やAPTと聞くと、侵入方法として、スピアフィッシングや、ドライブバイダウンロードなどのWebからの感染が頭に浮かびますが、米国Community Health Systemsのように、公開システムからの侵入も多く報告されています。自組織の管理するシステムにおいて、グローバルIPアドレスを付与したシステムは、たとえ社員専用であっても、攻撃者から認知されていると考え、相応の対策が必要であることは言うまでもありません。

今回、Maltegoというツールを使って、簡単な偵察行為を行いましたが、自組織のドメインに対し、このような偵察行為を行うことで、事前にリスクを把握することができるでしょう。

Maltegoは、Paterva社のWebサイト（http://www.paterva.com/）からダウンロードできます。機能は制限されますが、フリーのCommunity versionもありますので、ご興味ある方は、自組織のドメインに対して試してみて下さい。

免責：
本記事に掲載した偵察行為を自身の管理下にないネットワークに実行した場合は、攻撃行為と判断される場合があります。本記事を利用した行為による問題に関しましては、筆者および株式会社マクニカは一切責任を負いかねますのでご了承ください。