大規模なサイバー攻撃はすべて、偵察から始まる。2025年10月にカンタス航空の情報漏えいで570万件の顧客記録が流出する前、攻撃者は数週間かけてセールスフォースのインフラをマッピングした。国家的行為者がF5ネットワークスを侵害し、CISAの緊急指令を発動させる前に、彼らはどの組織が脆弱なバージョンを使用し、どのように影響を最大化するかを特定するための広範な偵察を行った。
脅威の状況は根本的に変化しました。攻撃者は脆弱性が公開されてから22分以内に、ゼロデイ攻撃のエクスプロイトが公表される前に73%の精度で予測できるAI搭載ツールを活用し、その脆弱性を武器化しています。一方、ソーシャルエンジニアリング攻撃の80%は、AIをコンテキストアウェアターゲティングに活用しており、偵察活動を手作業から、リアルタイムに適応する自動化されたインテリジェントなオペレーションへと変革しています。
セキュリティチームにとって、偵察を理解することはオプションではなく、生き残るために不可欠です。この包括的なガイドでは、脅威の主体がどのようにインテリジェンスを収集し、どのようなツールやテクニックを用いるのか、そして最も重要なこととして、本格的な侵害にエスカレートする前に、組織がこのような予備的な攻撃をどのように検知 し、防御することができるのかを検証します。
サイバーセキュリティにおける偵察とは、攻撃者が標的、その関係者、システム、アプリケーション、および公開されているサービスに関する情報を収集するプロセスであり、これにより侵入経路を選択し、発覚するリスクを低減することを目的としています。具体的には、偵察とは、攻撃者が行動に移す前に以下の4つの問いに答えるための手段です:
本格的な侵入攻撃では、攻撃者の成功確率を高めるため、必ず偵察が行われます。偵察により、攻撃者はなりすますべき適切な身元、調査すべき適切な外部サービス、そして権限やデータへの最短ルートを見極めることができます。サイバーキルチェーンでは、偵察は通常、最初の段階と位置付けられていますが、実際のインシデントでは、特に長期にわたる高度な持続的脅威(APT)攻撃において、攻撃者が攻撃範囲を拡大し、信頼関係を把握していく過程で、初期アクセス後も偵察が継続されることがよくあります。
初期アクセス後、偵察活動は外部からの情報収集から内部環境の把握へと移行することが多い。 マルウェア やキーボード操作による活動では、次にアクセス可能で悪用できる対象を把握するために、ユーザー、グループ、ネットワーク共有、クラウドロール、接続されたサービスなどを列挙することが多い。そのため、偵察は単なる準備作業ではなく、能動的な運用フェーズとして扱うべきである。 MITRE ATT&CK も、偵察を独自の戦術カテゴリ(TA0043)として区別しています。これは、偵察が反復可能かつ測定可能であり、多くのサイバー攻撃手法において下流の成功と密接に関連しているからです。
防御側にとって、偵察活動は攻撃者の意図を早期に察知する絶好の機会の一つです。多くの偵察手法は、単独では無害に見えるものの、一連の流れの中で意味を持つようになる、弱いが相互に関連したシグナルやパターンを残します。特に、複数のID、エンドポイント、SaaS、およびネットワーク活動にまたがって現れる場合、その傾向は顕著です。
ネットワーク偵察とは、ネットワークインフラをマッピングし、稼働中のホスト、公開されているサービス、開いているポート、信頼関係、および到達可能な資産を特定するプロセスです。これは、侵害される前の外部から行われる場合もあれば、初期アクセス後の内部で行われる場合もあります。
外部からは、攻撃者はスキャンや列挙攻撃を用いて、インターネットに公開されているシステムを特定します。内部では、侵害されたIDや マルウェア を用いて、Active Directory、クラウドロール、ファイル共有、ネットワークパスを列挙し、横方向の移動が可能な場所を特定します。
アイデンティティ偵察は、ネットワーク偵察における極めて重要な要素です。攻撃者は、ディレクトリへのクエリ実行、グループメンバーシップの列挙、権限昇格経路の特定を行うことで、信頼関係の構造を把握しようとします。この活動では、LDAPクエリ、API呼び出し、SaaSディレクトリへのリクエストといった正当なプロトコルが頻繁に利用されるため、行動パターンを基準値として設定し、アイデンティティやシステム間で相関分析を行わない限り、通常の運用に紛れ込んでしまいます。
ネットワークの偵察が重要なのは、攻撃経路を明らかにするからです。エンドポイントツールが何ら悪意のある活動を検知していなくても、異常な接続パターンや広範囲にわたるサービスの列挙といったネットワークレベルの挙動は、多くの場合、攻撃の意図を早期に明らかにします。
スキャンは偵察の一形態である。偵察はより広範な情報収集プロセスであり、スキャンはその中で用いられる技術的な手法である。
あらゆるスキャンは偵察の一種ですが、すべての偵察がスキャンを伴うわけではありません。スキャンの検知のみに焦点を当てていると、特に受動的な情報収集やIDベースのマッピングの分野において、重大な死角が生じてしまいます。
偵察手法の違いを理解することは、効果的な防御を構築する上で極めて重要である。攻撃者は、その目的、リスク許容度、ターゲットの特徴に応じて多様な手法を採用しており、最新のキャンペーンでは、包括的な情報収集のために複数のアプローチを組み合わせることも少なくありません。
受動的偵察では、標的のシステムと直接やりとりすることなく情報を収集するため、事実上検知されることはありません。攻撃者は、公開データベース、ソーシャル・メディア・プロファイル、企業ウェブサイト、リークされた認証情報などのオープンソース・インテリジェンス(OSINT)を活用します。彼らはDNSレコードを分析し、キャッシュされたウェブページを検索し、組織図や従業員情報のためにプロのネットワーキングサイトをマイニングします。2024年7月から2025年10月にかけてSentinelOneの顧客を標的にした中国のスパイキャンペーンは、洗練された受動的偵察の例であり、脅威行為者は、脆弱なサードパーティの統合を特定する前に、公的な契約やパートナーシップの発表を通じてサプライチェーンの関係をマッピングすることに数カ月を費やしました。
能動的な偵察には、標的システムとの直接的な相互作用が必要であり、防御側が検知できる可能性のあるネットワーク・トラフィックやログを作成する。これには、実行中のサービスを特定するためのポート・スキャン、インフラ・トポロジーを理解するためのネットワーク・マッピング、悪用可能な弱点を発見するための脆弱性スキャンなどが含まれます。アクティブ・テクニックは、より詳細で正確なインテリジェンスを提供しますが、検出のリスクが高くなります。2025年10月に発生したF5 Networksの国家的侵害事件では、攻撃者が組織的にネットワークエッジをプローブし、後に悪用するzero-day 脆弱性を特定するなど、大規模な能動的偵察が行われました。
ソーシャル・エンジニアリング偵察は、人的情報収集と技術的情報収集の架け橋となる。攻撃者は、ソーシャル・メディアを通じて従業員を調査し、標的を絞ったスピア・エンジニアリングを仕掛ける。フィッシング キャンペーンを仕掛けたり、ヘルプデスクに口実の電話をかけたりします。現在、ソーシャル・エンジニアリングの80%はAIによって強化されており、攻撃者は何千ものソーシャルメディア上の投稿を自動的に分析し、高度にパーソナライズされた攻撃に役立つ興味、関係、コミュニケーション・パターンを特定することができます。
技術的な偵察は、インフラとアプリケーション層に重点を置く。これには、サブドメインを発見するためのDNS列挙、資産を特定するための証明書透過ログ分析、予測可能なネーミングパターンによるクラウドサービスの発見などが含まれます。中東の重要インフラを標的とした12カ月間のキャンペーン「Operation Copperfield」では、Active Directoryマッピング用のSharpHoundや、従来の脅威検知を回避する持続的アクセス・リビング・オフ・ザ・ランドのテクニック用のDWAgentなどの正規ツールを使用した高度な技術偵察が実証されました。
2025年10月の脅威情勢から、3つの革新的な偵察手法が明らかになった。ブラウザベースの偵察は内部ネットワークの発見に革命をもたらし、JavaScriptベースのツールはネットワーク制御を回避しながら、セッションごとに1,000以上の内部ホストをマッピングします。これらの技術は、WebRTCを利用して内部IPを発見し、WebGLを利用してデバイスのフィンガープリンティングを行うもので、ブラウザ偵察の67%は現在のセキュリティ・ツールでは検出されない。
AIを活用した偵察は、能力の飛躍的な飛躍を意味する。機械学習モデルは現在、コードパターンと過去の悪用データを分析することで、zero-day 脆弱性を73%の精度で予測している。自然言語処理により、文脈を考慮した脆弱性情報が自動的に生成されます。 フィッシング メッセージを自動的に生成し、コンピュータ・ビジョンはスクリーンショットや文書から情報を大規模に抽出する。最近のAIを活用したソーシャルエンジニアリングの急増(キャンペーンの80%に影響)は、このテクノロジーが即座に影響を及ぼすことを示している。
サプライチェーンの偵察は、主要な攻撃ベクトルとして浮上しており、2025年の侵害の30%は、サードパーティの情報収集が関与している。攻撃者は、ベンダーの関係をマッピングし、ソフトウェアの依存関係を分析し、複雑なエコシステムの最も弱いリンクを見つけるために共有インフラを特定します。100以上の川下顧客に影響を与えたN-able N-centralの悪用は、単一のベンダーの偵察がサプライチェーン全体の攻撃をいかに危険にさらすかを例証している。
現代の偵察ツールは、シンプルなコマンドライン・ユーティリティから高度なAIを搭載したプラットフォームまで幅広く、それぞれが特定の情報収集目的に対応しています。これらのツールとその検出シグネチャを理解することは、事前攻撃を防御するセキュリティ・チームにとって不可欠です。
OSINTプラットフォームは受動的偵察の基礎を形成する。コネクテッドデバイスの検索エンジン」であるShodanは、インターネットに接続された何百万ものシステムにインデックスを付け、公開されたデータベース、産業用制御システム、設定ミスのサービスなどを明らかにします。Maltegoは、エンティティ間の関係を可視化し、異種のデータポイントを実用的なインテリジェンス・グラフに変換します。TheHarvesterは、複数のソースにまたがる電子メール、サブドメイン、従業員の発見を自動化します。Google dorkingは、高度な検索演算子を活用し、機密文書、暴露された認証情報、不注意にオンラインで公開された設定ファイルを発見します。これらのツールは特別なアクセスや高度なスキルを必要としないため、アマチュア・ハッカーから国家行為者までアクセス可能です。
ネットワーク偵察ツールは、能動的なプロービングを通じて詳細なインフラ情報を提供する。Nmapはポートスキャンとサービス検出におけるゴールドスタンダードであり、ネットワーク全体にわたるオペレーティングシステム、アプリケーション、脆弱性を特定できる。 Masscanはインターネット規模のスキャンを実現し、数分で数百万のホストを処理します。ZMapは大規模ネットワーク調査に特化し、攻撃者がIPv4空間全体にわたる脆弱なサービスを特定することを可能にします。これらのツールは、WEEPSTEELを展開したSitecore CVE-2025-53690悪用キャンペーンに先行するスキャントラフィックを生成しました。 マルウェア を脆弱なコンテンツ管理システム全体に展開した。
DNS偵察は、サブドメインの列挙とゾーン転送の試行を通じて、隠れた攻撃面を明らかにします。攻撃者はDNSrecon、Sublist3r、Amassのようなツールを使用して、忘れられたサブドメイン、開発サーバー、クラウド資産を発見します。証明書の透明性ログは、ドメインに対して発行されたすべてのSSL証明書を公開し、別の情報源を提供します。マイクロソフトのクラウドインフラストラクチャの組織的なDNS列挙によって発見されたAzure Networkingの脆弱性CVE-2025-54914は、DNSインテリジェンスがいかに標的型攻撃を可能にするかを示している。
クラウド偵察は、クラウドサービスの予測可能な性質を悪用する。攻撃者はワードリスト攻撃によってS3バケットを列挙し、DNSパターンによってAzureストレージアカウントを発見し、予測可能な命名規則によってGoogleクラウドプロジェクトをマッピングする。AWSのCLIは、認証情報が公開されると、IAMロールとLambda関数を列挙することができます。200以上の組織に影響を与えたCrimson Collective キャンペーンでは、攻撃を開始する前に、これらのテクニックを活用してクラウド環境全体をマッピングしていました。
AIによって強化された偵察ツールは、情報収集の最先端を象徴している。これらのプラットフォームは、多様なソースからの非構造化データを自動的に解析し、人間が見逃してしまうパターンを特定し、防御反応に基づいて技術を適応させる。カッパーフィールド作戦では、攻撃者は数カ月にわたって通常のネットワーク動作を学習するAIモデルを配備し、偵察活動と正当なトラフィックを混在させることを可能にした。機械学習アルゴリズムは現在、公開データ分析に基づいて、どの従業員がソーシャル・エンジニアリングに最も影響を受けやすいかを予測し、手作業では到底及ばない成功率を達成しています。
土地に依存した手法(LotL)は、高度な攻撃者にとって好まれる偵察手法となっており、2024年末までにAPTグループの40%がこれらの手法を完全に統合する見込みである。PowerShellは、アンチウイルスアラートをトリガーすることなく、広範なActive Directoryの列挙を可能にする。 Windows Management Instrumentation(WMI)クエリにより、システム構成、インストール済みソフトウェア、ネットワーク接続が明らかになる。netstat、arp、routeなどの組み込みツールは、malware 必要とせずにネットワークマッピング機能を提供する。
これらのツールは、通常の管理トラフィックを生成し、正当なオペレーションに紛れ込ませます。Operation Copperfield で多用された SharpHound は、標準的な LDAP クエリを利用して Active Directory の関係をマッピングします。Earthwormは、一般的なプロトコルを使用してネットワーク・トンネルを作成します。DWAgent は、一見良さそうに見えるリモート・サポート・ソフトウェアを通じてリモート・アクセスを提供します。従来のセキュリティツールは、悪意のある使用と正当な管理を区別するのに苦労しており、LotL 偵察の 78% はシグネチャベースの検出を回避しています。組織は、振る舞い 分析と異常検知を実装し、通常のツール使用における疑わしいパターンを特定する必要があります。
偵察の仕組みは、その一連の流れを順を追って見れば最も理解しやすい。実際の侵入攻撃において、攻撃者はいきなり攻撃段階に移行するわけではなく、まず何がアクセス可能か、何が公開されているか、そしてどのIDやサービスを利用すれば最も抵抗なく移動できるかを把握する。
以下の例は、防御側がどのような手段を講じ、どのように対応すべきかを反映するため、検知のしやすさによって分類されています。
パッシブな偵察は、標的となるシステムと直接やり取りすることなく情報を収集します。ログ上では確認できないかもしれませんが、その成果は後になって、極めて標的を絞ったフィッシング、精密なサービスプロービング、あるいは巧妙なIDの悪用といった形で現れます。
一般的な例としては、次のようなものがあります:
能動的な偵察では、インフラやサービスとの直接的なやり取りが行われます。特に攻撃者が広範囲に、あるいは繰り返し調査を行う場合、テレメトリデータが生成されがちです。
一般的な例としては、次のようなものがあります:
偵察活動を理解する最も手っ取り早い方法は、攻撃チェーンの中でそれが どのように現れるかを確認することです。特に、初期アクセス後の段階で、 マルウェア やオペレーターが、次に何をすべきかを決定するために環境のマッピングを開始する段階です。
自動偵察とは、スクリプト化されたツール、ボット、AIシステムを活用し、システム、ID、インフラに関する情報を機械並みの速度で収集する手法です。攻撃者は、手動で標的を調査する代わりに、自動化技術を用いて、環境を大規模にスキャン、列挙、マッピングします。
自動化により、偵察活動は時間のかかる発見プロセスから、効率化された運用へと変化します。数千ものIPアドレス、ドメイン、ID、APIを数分で評価できるため、攻撃者の労力を軽減しつつ、調査範囲と精度を高めることができます。
自動偵察には通常、以下のものが含まれます:
AIを活用した偵察は、自動化の次の段階を象徴しています。AIモデルは、あらかじめ定義されたスクリプトを実行するのではなく、パターンを分析し、手法を適応させ、ターゲットの優先順位を動的に決定します。
機械学習システムには次のような機能があります:
侵入後のシナリオにおいて、AIを活用したツールは、テレメトリ、ディレクトリ構造、および信頼関係を分析し、最適な横方向の移動経路を特定することができます。これにより、偵察活動は受動的なマッピングから適応的な意思決定へと移行します。
AIを活用した偵察活動は、多くの場合、正当なプロトコルを使用し、通常のトラフィックに紛れ込むため、これを検知するには、シグネチャ照合ではなく、振る舞い が必要となる。
自動化された偵察活動は、機械の速度で実行される場合でも、予測可能なパターンに従います。ディレクトリの照会やDNSリクエストといった個々の動作は日常的なものに見えるかもしれませんが、自動化によって規模、反復性、一貫性が加わることで、検知可能な振る舞い が生み出されます。以下の手法は、攻撃者が一般的に何を自動化しているか、それがなぜ攻撃者の優位性を高めるのか、そして防御側が早期に攻撃の意図を把握するために何を監視すべきかを示しています。
生成AIの登場により、攻撃のスピードはさらに加速し、攻撃者はわずか数秒で標的の調査、攻撃スクリプトの作成、そして説得力のあるソーシャルエンジニアリング用コンテンツの作成が可能になりました。かつては技術的な専門知識と手作業を必要としていた作業も、現在では大規模言語モデルによって支援されるか、あるいは完全に自動実行されるようになっています。
以下の動画で、ジェネレーティブAIが偵察および準備段階における遅延を解消し、攻撃者が初期調査から実行へと、摩擦を劇的に低減して移行できるようにする様子をご覧ください。
偵察活動はもはや、時間がかかり、目に見える前兆を伴うものではありません。それは、自動化とAIによる支援によって推進される、迅速かつ反復的なプロセスです。これを検知するには、個別のアラートではなく、ID、エンドポイント、ネットワーク活動、クラウドサービスにわたる振る舞い が必要です。
偵察活動の検知には、単なるシグネチャだけでなく、パターンの認識が必要です。多くの偵察活動は、単独で見れば無害に見えますが、システム、ID、および時間軸を横断して相関付けを行うことで、その意味が明らかになります。
主な防御策としては、以下のものが挙げられます:
初期アクセス前後に偵察活動が行われる可能性があるため、可視化の対象はネットワーク、ID、クラウド、およびSaaS環境に及ぶ必要があります。
効果的なプログラムでは、以下の点を測定します:
検知ウィンドウを短くすることで、攻撃者の優位性を低減できる。
成熟したプログラムでは、継続的な状況把握が前提となっています。これらのプログラムは、振る舞い 、積極的な脅威ハンティング、定期的な自己評価を組み合わせることで、攻撃者よりも先に脆弱性を特定します。
ネットワーク、ID、クラウド環境にわたる多層的な検知により、初期段階の兆候の明確化が図られ、悪用が拡大する前に迅速な封じ込めが可能になります。
偵察の探知効果を測定するには、特定の測定基準が必要である。偵察の平均検知 時間(MTTD)は日単位ではなく時間単位で測定されるべきである。誤検知率は、セキュリティと運用効率のバランスを取る必要がある。過剰なアラートはアラート疲労を引き起こすが、少なすぎるアラートは真の脅威を見逃す。カバレッジ・ギャップは盲点を明らかにします。ブラウザ偵察の67%が未検出の場合、組織はどこに改善の努力を集中すべきかを知ることができます。検出された偵察試行と成功した偵察試行の比率、調査されたハニーポット相互作用の割合、および偵察検出からインシデント対応までの時間を追跡する。これらの指標は、継続的な改善を可能にし、セキュリティ・プログラムの価値を実証します。
効果的な偵察防御には、技術、プロセス、人材を組み合わせた包括的なプログラムが必要である。まず、継続的な自己評価から始めましょう。定期的に自組織に対する偵察を実施し、攻撃者よりも先に脆弱性を特定します。脅威インテリジェンスを統合し、現在の偵察の傾向とテクニックを理解する。受動的偵察と能動的偵察、技術的アプローチとソーシャル・エンジニアリング・アプローチに対応する層構造の防御を導入する。偵察の指標を認識し、適切に対応できるようにセキュリティチームを訓練する。偵察が検知された場合の明確なエスカレーション手順を確立する。最も重要なことは、最初の情報収集が成功した場合でも、偵察の価値を制限する違反設計防御を想定することである。包括的な偵察防御プログラムを導入している組織では、侵入の成功率が60%低下したと報告されており、攻撃を初期の段階で阻止することの価値が実証されています。
成功しているプログラムは、脅威の探索とプロアクティブなインシデントレスポンスも重視している。熟練したアナリストは、アラートを待つのではなく、ログやネットワーク・トラフィックから偵察の指標を積極的に探します。自動化されたシステムが見逃す異常を調査し、忍耐強く目立たない偵察を示す可能性のある異種イベントを相関させるのです。AIが検知能力を向上させる一方で、人間の直感と経験が自動検知を回避する巧妙な偵察を特定することも少なくありません。
MITRE ATT&CK 、偵察を戦術カテゴリ(TA0043)としてMITRE ATT&CK 、アクティブスキャン、被害者の身元情報の収集、公開されているウェブサイトやドメインの検索などの手法が含まれます。これらの手法は観測可能であり、検知対策に直接対応させることができます。
サイバーキルチェーンにおいて、偵察はステージ1にあたります。この段階を妨害することで、初期アクセス、権限昇格、およびデータ流出が成功する可能性を低減できます。
これらのフレームワークに検出範囲をマッピングすることで、セキュリティチームは以下のことが可能になります:
セキュリティ業界は、人工知能、クラウドネイティブアーキテクチャ、統合検出プラットフォームを活用した革新的な防御技術により、進化する偵察の脅威に対応してきました。これらのソリューションは、現代の偵察キャンペーンのスピード、規模、高度化に対応しています。
AIを搭載した脅威検知プラットフォームは、毎日何十億ものイベントを分析し、人間のアナリストには見えない偵察パターンを特定します。これらのシステムは、ユーザー、システム、ネットワークのベースラインを確立し、偵察の可能性を示す逸脱を特定します振る舞い 複数のデータソースにまたがる弱いシグナル(ログインの失敗、異常なデータベースクエリなど)を相関させ、協調的な情報収集を明らかにします。機械学習モデルは継続的に改善され、成功した検出と失敗した攻撃の両方から学習し、将来のパフォーマンスを向上させます。
XDR(Extended Detection and Response)プラットフォームは、エンドポイント、ネットワーク、クラウド環境にわたる可視性を統合し、複数の攻撃サーフェスにまたがる偵察の検知に不可欠です。XDR は、従来はサイロ化されていたセキュリティ・ツール間の偵察インジケータを相関させ、個々のツールが見逃していた攻撃を明らかにします。例えば、XDRは、従業員のソーシャルメディア偵察(脅威インテリジェンスによって検出)と、その後のスピア攻撃(攻撃者の攻撃経路を特定し、攻撃者の攻撃経路を特定するために使用されます)を相関させることができます。フィッシング の試み(電子メール・セキュリティで検知)や、通常とは異なる VPN アクセス(ID 管理で検知)と相関させることで、サイロ化したツールでは個別のインシデントとして扱われる連携攻撃を明らかにすることができます。
クラウドネイティブ・セキュリティソリューションは、クラウド偵察特有の課題に対応します。APIコールをリアルタイムで可視化し、クラウドサービスのログを分析して列挙を試み、マルチクラウド環境全体で異常なアクセスパターンを検知 します。これらのプラットフォームは、バケットの列挙やメタデータ・サービスの不正使用など、クラウド特有の偵察テクニックを理解し、従来のセキュリティ・ツールでは提供できなかった保護を提供します。
マネージド・ディテクション&レスポンス・サービスは、多くの組織が社内で不足している専門知識を提供する。これらのサービスは、高度なテクノロジーと、偵察の指標を理解し、疑わしい活動を調査できる人間のアナリストを組み合わせています。24時間365日体制で監視を行い、営業時間外の偵察活動が検知されないことがないようにします。
Vectra プラットフォームは、シグネチャや既知のパターンではなく、攻撃者の振る舞いに焦点を当てたAttack Signal Intelligence™を通じて偵察防御にアプローチします。この方法論は、攻撃者がゼロデイ、リビング・オフ・ザ・ランドのテクニック、AI強化ツールのいずれを使用しているかに関係なく、通常のオペレーションからどのように逸脱しているかを分析することで偵察活動を特定します。このプラットフォームは、オンプレミスのActive Directoryからクラウドサービスまで、ハイブリッド環境全体の弱いシグナルを相関させ、従来のツールが見逃していた患者の偵察キャンペーンを明らかにします。技術だけでなく攻撃者の意図を理解することで、Vectra AIは新たな偵察方法が出現するとそれを検知し、進化する脅威に対して適応的な防御を提供します。この振る舞い アプローチは、ブラウザベースの偵察やAIを強化したソーシャルエンジニアリングに対して特に効果的であることが証明され、シグネチャベースのツールでは識別できないパターンを検知します。
偵察の状況は、技術の進歩と攻撃者の動機の進化によって、今後12~24カ月の間に劇的な変化を遂げるだろう。セキュリティ・チームは、まだ存在しないがその輪郭はすでに見えている脅威に備えなければならない。
2026年後半には、偵察はAI主導なるだろう。現在の統計では、ソーシャル・エンジニアリング・キャンペーンの80%がすでにAIを使用しているが、これは始まりに過ぎない。次世代AIは、防御反応に基づいてリアルタイムで適応する自律的な偵察キャンペーンを実施する。これらのシステムは、何百万ものデータを同時に分析し、人間が知覚できないパターンを特定し、特定のターゲットに最適化された攻撃戦略を生成する。
機械学習モデルは、ゼロデイ脆弱性の予測においてほぼ完璧な精度を達成するでしょう。18ヶ月以内に、現在の73%から90%以上に向上するでしょう。攻撃者はAIを活用してコードコミットを分析し、セキュリティ研究者の注力分野を特定し、どのような脆弱性がいつ発見されるかを予測するでしょう。この予測能力により、攻撃者は脆弱性が明らかになる前にエクスプロイトを準備することが可能になります。
自然言語処理はソーシャル・エンジニアリングの偵察に革命をもたらすだろう。AIは長年にわたる従業員のコミュニケーションを分析し、文体、人間関係、コミュニケーションパターンを理解する。正規のメッセージと見分けがつかない電子メールを生成し、振る舞い パターンに基づいて完璧なタイミングを計り、受信者の反応に基づいてコンテンツを適応させる。AIによって強化された偵察に対する防御には、同様に洗練されたAIによる検知が必要となる。
実用的な量子コンピューターが登場するのはまだ数年先のことだが、脅威の主体はすでにその準備のために偵察を行なっている。「今は収穫、後で復号化」キャンペーンは、将来の量子復号化のために暗号化されたデータを収集する。組織は、現在安全な通信が5~10年以内に解読可能になることを想定し、それに応じて偵察防衛を調整しなければならない。
量子コンピューティングは、偵察そのものにも革命をもたらすだろう。量子アルゴリズムは現在の暗号を数分で破り、これまで保護されていた膨大な量の情報を暴露することができる。現在数週間かかっているネットワーク分析が数秒で可能になるかもしれない。組織は、将来の偵察から身を守るために、今すぐ量子耐性暗号の実装を開始しなければならない。
IoTデバイスの爆発的な増加は、前例のない偵察機会を生み出す。2027年までに、企業は数十億台のIoTデバイスを導入することになり、それぞれが潜在的な偵察ターゲットとなります。これらのデバイスは多くの場合、セキュリティ管理が不十分で、デフォルトの認証情報を使用し、暗号化されていないチャネルで通信を行います。攻撃者は、IoT環境に特化した偵察ツールを開発し、デバイスの関係をマッピングして脆弱な侵入口を特定するようになるでしょう。
エッジコンピューティングは多数の場所に処理を分散させ、偵察防衛を複雑にする。コンピューティングがあらゆる場所で行われるようになると、従来の境界ベースのセキュリティは意味をなさなくなる。組織は、分散したエッジ・インフラ全体で検知 行うための新たなアプローチを必要としている。
防御の自動化は攻撃の自動化に匹敵する。AIを搭載したセキュリティ・プラットフォームは継続的な自己偵察を行い、攻撃者よりも先に脆弱性を特定する。検知された偵察に基づいて防御を自動的に調整し、脅威とともに進化する適応型セキュリティを実現する。欺瞞技術は、AIを使用して、特定の偵察ツールを欺くために適応する動的なハニーポットを作成する。
人間のセキュリティ・アナリストは、検知から戦略へとシフトする。AIが日常的な偵察の検知を行う一方で、人間は攻撃者の動機を理解し、将来の偵察の傾向を予測し、防御戦略を設計することに集中する。AIを活用した偵察に対する防御には、このような人間と機械の連携が不可欠となる。
世界各国政府は、偵察活動に対処する新たな規制を導入する。現在の情報漏えい通知と同様に、偵察報告の義務化が予想される。偵察検知能力に関する業界標準が登場し、組織は特定の防御手段を実証することが求められる。サイバー保険は、偵察防御の成熟度に基づいて保険料を調整し、積極的なセキュリティ投資を奨励する。
セキュリティ業界は、新たなカテゴリーの偵察防衛ツールを開発する。偵察脅威インテリジェンスは、現在進行中の偵察キャンペーンに関するリアルタイムの情報を提供する、別個の市場となるだろう。偵察-as-a-サービス・プラットフォームは、組織の防御テストを支援する。業界の協力体制が強化され、各組織が偵察指標を共有することで、集団的防御が可能になる。
現代の攻撃において、偵察の段階こそが、その精度と規模を高める鍵となります。攻撃者は、脆弱性を悪用する前に、インフラストラクチャ、ID、および信頼関係を把握することで、不確実性を低減します。
防御側にとって、この段階は戦略的な好機となります。偵察活動を早期に検知することで、認証情報が悪用されたりデータにアクセスされたりする前に、攻撃の進行を阻止することができます。
ネットワークの動向、ユーザーの行動、およびエコシステムの脆弱性を監視する組織は、攻撃の意図を早期に検知する能力を高め、攻撃リスク全体を低減することができます。
サイバーセキュリティにおける偵察とは、攻撃の初期段階における情報収集活動であり、攻撃者はシステム、ID、ネットワーク、および公開されているサービスに関する情報を収集し、脆弱性を特定して攻撃計画を立案します。これにより、不確実性が低減され、攻撃の精度が向上します。
偵察は、初期アクセス前(外部マッピングおよびOSINT)または侵害後(内部におけるID、役割、ネットワーク経路の列挙)に行われることがある。MITRE ATT&CK 、戦術MITRE ATT&CK 正式に定義されている。
偵察段階はサイバー攻撃のライフサイクルにおける最初の段階であり、攻撃者は攻撃を実行する前に情報を収集します。
サイバーキルチェーンにおいて、偵察は初期アクセスに先行する。しかし、現代の侵入攻撃では、攻撃者が可視範囲を拡大し、信頼関係を把握し、横方向の移動経路を特定するために、アクセス後も偵察が継続されることがよくある。
偵察攻撃とは、後で悪用できる脆弱性、公開されているサービス、ユーザー情報、または設定ミスを特定することを目的とした情報収集活動である。
これには、受動的な手法(OSINT、証明書分析、従業員のプロファイリング)や、能動的な探査(ポートスキャン、サービスの列挙、ディレクトリクエリ)が含まれる場合があります。この攻撃の目的は、即時の妨害ではなく、事前の準備にあります。
ネットワーク偵察とは、インフラストラクチャをマッピングして、稼働中のホスト、公開されているサービス、開いているポート、信頼関係、および到達可能な資産を特定するプロセスです。
外部からは、攻撃者がインターネットに公開されているシステムをスキャンします。内部では、乗っ取られたIDや マルウェア を使用して、Active Directory、クラウドロール、およびネットワーク共有を列挙し、横方向の移動経路を特定します。
スキャンは偵察の一形態である。偵察はより広範な情報収集プロセスであり、スキャンはその中にある技術的な手法である。
偵察には、受動的なものと能動的なものがあります。スキャンは常に能動的な行為であり、検知可能なトラフィックを生成します。スキャンの検知のみに焦点を当てていると、身元情報やOSINT(公開情報)に基づく偵察に関しては死角が生じてしまいます。
一般的な偵察攻撃の例としては、次のようなものがあります:
これらの活動により、運用開始前の不確実性が軽減されます。
偵察の所要時間は、攻撃者の手口や目的によって異なる。
自動化された攻撃キャンペーンは、攻撃を実行する数分前に偵察を行うことがある。標的型攻撃や国家主体の攻撃では、行動に移す前に数週間から数ヶ月にわたって偵察を行うことがある。
組織は、偵察活動を単発的な出来事ではなく、継続的なものとして捉えるべきである。
公開情報のみを用いた純粋な受動的偵察は、標的システムとやり取りを行わないため、直接的に検知することはできない。
しかし、組織はリスクを軽減し、受動的な情報収集に端を発する下流のID悪用に対して、ハニートークン、脅威インテリジェンスの監視、異常検知といった間接的な検知手法を活用することができる。
偵察の合法性は、用いられる手法や管轄区域によって異なります。
公開情報源からの受動的な情報収集は、一般的に合法です。一方、能動的なプロービング、ポートスキャン、および許可なく行われるシステムへの不正なアクセスは、多くの場合、コンピュータの不正使用や詐欺に関する法律に違反します。
セキュリティテストを実施する組織は、明確な承認を得なければならない。
組織は、攻撃対象となる範囲を縮小し、異常な列挙行為を早期に検知することで、偵察攻撃を防止しています。
効果的な管理策には、次のようなものがあります:
早期発見により、悪用される可能性が低くなります。