攻撃の“入口”を断つ
偵察と初期アクセス編
攻撃者は、いきなり攻め込んだりしません。まず時間をかけて「調べ(偵察)」、それから慎重に「忍び込む(初期アクセス)」。MITRE ATT&CKの最初の戦術群を、防御者の視点で日本語で深掘りします。入口を断てれば、後に続く攻撃のすべてを止められる——これは、もっとも費用対効果の高い防御の話です。連載・第2回。
📋 連載 第2回の目次
前回の第1回(総論)では、MITRE ATT&CKという“攻撃の地図”の全体像——戦術・技術・サブ技術の3階層と、14の戦術が描く攻撃の物語——を見渡しました。今回からはいよいよ、その地図を1区画ずつ歩いていきます。最初に訪れるのは、攻撃者が最初に踏む2つの戦術、「偵察(Reconnaissance)」と「初期アクセス(Initial Access)」。すべての攻撃が、ここから始まります。そして防御側にとって、ここはもっとも“割に合う”戦場でもあります。入口で止められれば、その先のランサム暗号化も情報窃取も、まとめて未然に防げるからです。
全6回の地図・各回へのリンク・目的別の読み方(初学者/検知エンジニア/IR担当…)は、▶ 連載インデックス(総まとめ)はこちら。
この記事は、フィッシングや脆弱性悪用といった攻撃の“入口”の手口を、防御者が見抜き・塞ぐために解説するものです。攻撃の手順書ではありません。具体的な攻撃ツールの使い方や悪用コードは扱わず、「どんな入口が狙われ、どう気づき、どう塞ぐか」に徹します。ここで得た知識は、必ず自分が管理する、または正式に許可された環境での防御・検証にのみ使ってください。他者のシステムへ無断で試せば、不正アクセス禁止法等に触れる犯罪です。相手の手口を知ることは、あくまで“より良く守る”ためにあります。
🧭 おさらいと「入口」の戦略的価値
なぜ最初に“入口”を学ぶのか。それは、ここが防御の費用対効果が最も高い場所だからです。
第1回で見たとおり、ATT&CKの14戦術は、おおむね攻撃が進む順に並んでいます。その先頭にあるのが偵察 → リソース開発 → 初期アクセスという“侵入の入口”の3戦術です。攻撃者の物語でいえば、「標的を下見し(偵察)」「道具と足場を用意し(リソース開発)」「最初のドアをこじ開ける(初期アクセス)」という、まさに幕開けの場面にあたります。
“左側”で止めるほど、被害も対応コストも小さい
攻撃のライフサイクルを左から右へ流れる帯だと考えると、左側(入口)で止めるほど被害は小さく、右側(暗号化・情報窃取)に進むほど被害も対応コストも跳ね上がります。侵入を一度許せば、その後は永続化・横展開・持ち出しと、防御側は何重もの対応を迫られます。逆に、入口さえ断てれば後続はまるごと発生しません。だからこそ、限られたリソースは“入口”に厚く張るのが定石。これは「シフトレフト(問題を上流で潰す)」という考え方の、セキュリティ版です。
もうひとつ、入口の戦術には防御側にとって大きな特徴があります。それは、偵察と初期アクセスでは「検知のしやすさ」が大きく違うこと。偵察の多くは攻撃者が自分の手元や公開情報を使って静かに行うため、防御側からはほとんど見えません。一方、初期アクセスは“こちらのシステムに触れてくる”行為なので、ログや痕跡が残り、検知・ブロックのチャンスがあります。つまり戦い方は、「偵察=見られて困る情報を減らす(予防)」「初期アクセス=触れてきた瞬間を捉える(検知・防御)」と、戦術ごとに切り替えるのがコツです。この章を読み終えるころには、その勘所がつかめているはずです。
🔍 偵察:攻撃は“調べる”から始まる
戦術ID TA0043。攻撃者が標的の情報を集める段階。多くは“静かに”行われます。
偵察(Reconnaissance)は、攻撃者が標的について情報を集める段階です。「どんな組織で、どんな人がいて、どんなシステムを外部に公開しているか」を調べ上げ、もっとも入りやすい入口はどこかを見定めます。家に押し入る泥棒が、事前に下見をして「鍵のかかっていない窓」を探すのと同じ。攻撃者にとって偵察は、成功率を上げるための投資なのです。
偵察は大きく2種類に分けられます。攻撃者が自分の手元や第三者の情報源だけで完結させる受動的偵察(パッシブ)と、標的のシステムに実際に触れて反応を見る能動的偵察(アクティブ)です。前者はOSINT(公開情報調査)そのもので、標的側のログには一切残りません。後者は、たとえばポートスキャン(ATT&CKでは T1595 能動的スキャン)のように、こちらのファイアウォールやサーバーにアクセスが届くため、注意深く見ていれば痕跡が残ります。
🗺 偵察:散らばった公開情報から“標的の像”を組み立てる
攻撃者が集める情報は、ATT&CKでは収集対象ごとに整理されています。とりわけ危険なのが「身元情報の収集」(T1589)——社員のメールアドレス、氏名、役職、使っているクラウドサービスなど。これらは後のフィッシングの“宛先リスト”になります。次の表に、代表的な偵察テクニックと、防御側の向き合い方をまとめます。
| 偵察テクニック | 攻撃者が得るもの | 防御側の向き合い方 |
|---|---|---|
T1589 身元情報の収集 | メアド・氏名・役職・認証情報の断片 | 公開する個人情報を最小化/漏洩パスワードの監視 |
T1590 ネットワーク情報の収集 | ドメイン・IP範囲・公開サービス | 外部公開資産の棚卸し(ASM) |
T1591 組織情報の収集 | 組織図・取引先・拠点・業務内容 | 採用/IR情報の出し方を見直す |
T1593 Web・SNSの調査 | 社員の投稿・利用技術・内部事情 | 従業員のSNSリテラシー教育 |
T1596 技術DBの調査 | Shodan等で“公開された脆弱な機器” | 自分でもShodan等で自社を確認 |
T1595 能動的スキャン | 開いているポート・稼働サービス・脆弱性 | IDS/IPS・ファイアウォールログで検知 |
T1598 偵察目的のフィッシング | 「情報を聞き出す」ための接触 | 不審な問い合わせの確認文化 |
防御の主役は「アタックサーフェス管理(ASM)」
偵察は静かで検知しにくい。だから防御の発想は「見られても困らない状態を作る」に切り替わります。その中心がアタックサーフェス管理(ASM)——攻撃者と同じ目で、自社が外部に何を晒しているかを把握する取り組みです。忘れられた検証サーバー、設定ミスで公開されたストレージ、古いVPN機器……攻撃者はこうした“管理外の入口”を真っ先に探します。OSINTの技術は、攻撃者の偵察手段であると同時に、防御者が自社の露出を確認する手段でもあるのです。同じ望遠鏡を、こちらが先に覗く——これが偵察への最良の備えです。
🧰 リソース開発:攻撃の“仕込み”
戦術ID TA0042。攻撃者が、攻撃に使う道具とインフラを準備する段階です。
偵察で“狙いどころ”が定まると、攻撃者は侵入に使う道具と足場を整えます。これがリソース開発(Resource Development)。地味ですが、ここを知っておくと防御の“早期警戒”につながります。具体的には、本物そっくりの偽ドメインの取得(例:example.com に対し examp1e.com のようなタイポスクワッティング)、マルウェアやフィッシングキットの入手・開発、正規に見せかけたメールアカウントやSNSアカウントの作成、そして遠隔操作の拠点となるC2インフラの構築などです。
この段階の多くは攻撃者側で完結するため、やはり直接の検知は困難です。しかし、防御側にも打てる手はあります。自社ブランドに似た新規ドメインの登録を監視すれば、フィッシングサイトの“開店準備”を、被害が出る前に察知できることがあります。また、脅威インテリジェンスを活用すれば、出回っているフィッシングキットや攻撃インフラの情報を先回りで取り込めます。「攻撃の仕込みは、外からでも一部は見える」——そう知っておくだけで、防御の視野が一段広がります。
“仕込み”を見張る、という発想
偽ドメインの監視(ドメイン監視サービスや証明書透明性ログ=CT logの活用)、自社を騙る偽アカウントの通報、漏洩認証情報の継続チェック。これらは華やかではありませんが、攻撃が「実行」に移る前の、最後の静かな猶予を活かす守りです。偵察とリソース開発は“見えにくい2戦術”ですが、ASMとブランド監視・脅威インテリジェンスという3点セットで、できるだけ早く異変の芽を摘みましょう。
🚪 初期アクセス:4つの主要な侵入口
戦術ID TA0001。下見を終えた攻撃者が、ついに最初の足がかりを得る段階です。
初期アクセス(Initial Access)は、攻撃者が標的のネットワークに最初の一歩を踏み入れる戦術です。ここを突破されると、攻撃は次の「実行」「永続化」へと進んでいきます。手口は数多くありますが、実際のインシデントで繰り返し使われる“侵入口”は、ほぼ次の4つに集約されます。まずはこの4つを、しっかり押さえましょう。
フィッシング
偽メール等で、添付ファイルを開かせたり、偽サイトへ誘導して認証情報を入力させる。人間の心理を突くため、技術的対策をすり抜けやすい。依然として最多クラスの入口。
公開アプリの脆弱性悪用
VPN装置・Webアプリ・メールサーバーなど、インターネットに面した機器の脆弱性を突く。日本のランサム被害で、最大の侵入経路とされる。
外部リモートサービス
RDP・VPN・SSHなど、外部から入るための正規の入口を悪用。総当たり(ブルートフォース)や、盗んだ認証情報でログインする。
正規アカウントの悪用
窃取・購入した本物のID/パスワードでログイン。正規の認証なので“侵入”に見えにくく、検知が最も難しい厄介な入口。
この4つ以外にも、知っておきたい入口があります。取引先やIT管理委託先を踏み台にする信頼関係の悪用(T1199)や、正規ソフトの配布経路に毒を仕込むサプライチェーン侵害(T1195)は、近年とくに警戒される“間接侵入”。改ざんサイトを閲覧しただけで感染するドライブバイ侵害(T1189=水飲み場型)や、USBメモリ経由のリムーバブルメディア(T1091)も依然として現役です。いずれも、「自社が直接狙われなくても、つながりの先から入られる」ことを示しています。
警察庁のまとめでは、近年のランサムウェア被害の侵入経路は、VPN機器やリモートデスクトップ(RDP)が大半を占め続けています。つまり最大の弱点は高度なゼロデイ攻撃ではなく、「パッチを当て忘れたVPN装置」「弱いパスワードのまま外部公開されたRDP」といった“管理から漏れた公開資産”なのです。とりわけ危ういのが、誰も覚えていない検証用サーバーや、退職者が立てた野良機器。攻撃者は、組織が把握していない入口を狙います。「自社が外部に何を晒しているか」を正確に知らないこと——それ自体が、最大のリスクです。
| 侵入口 | ATT&CK ID | 典型的な例 | もっとも効く対策 |
|---|---|---|---|
| フィッシング | T1566 | 請求書を装う添付・偽ログイン画面 | MFA+メール対策+教育 |
| 公開アプリ脆弱性 | T1190 | VPN/Exchange/Webアプリの既知脆弱性 | 迅速なパッチ+公開資産の棚卸し |
| 外部リモートサービス | T1133 | RDP総当たり・VPNへの不正ログイン | MFA+露出の最小化 |
| 正規アカウント | T1078 | 漏洩・購入した認証情報でログイン | MFA+異常ログイン検知 |
| サプライチェーン | T1195 | 正規ソフト更新への毒の混入 | 供給元の検証・SBOM・最小権限 |
| ドライブバイ | T1189 | 改ざんサイト閲覧での自動感染 | ブラウザ/OS更新・Web分離 |
表を眺めると、ある共通点に気づきます。「MFA(多要素認証)」と「パッチ・公開資産の管理」が、何度も登場していること。つまり、入口の手口は多彩でも、効く対策は驚くほど共通しているのです。この“勘所”は、⑥章で優先順位として整理します。
🎣 フィッシング(T1566)を深掘り
最多の入口を、もう一段詳しく。3つのサブ技術と、AI時代の変化、そして多層防御。
初期アクセスの代表格がフィッシング(T1566)です。なぜ、これほど使われ続けるのか。理由はシンプルで、「人間」という、パッチを当てられない弱点を突くからです。どんなに堅牢なファイアウォールも、社員が自ら偽サイトにパスワードを入力してしまえば意味をなしません。攻撃者にとって、技術の壁を越えるより、人の油断を突くほうが安上がりなのです。ATT&CKでは、フィッシングはさらに3つのサブ技術に分かれています。
添付ファイル型
悪意ある文書やファイルを添付。開いてマクロを有効化させ、コードを実行させる。「請求書」「履歴書」を装う例が定番。
リンク型
本物そっくりの偽ログイン画面へ誘導し、ID/パスワードを入力させる。クラウドサービスのログインを装う手口が急増中。
サービス経由型
メールを避け、SNSのDMやビジネスチャット、SMS経由で接触。メールフィルタの監視外を突くのが狙い。
そして近年、フィッシングはAIによって質的に進化しています。かつて「不自然な日本語」で見破れた偽メールは、生成AIによってネイティブ並みの自然な文面になりました。さらに、経営者の声を合成して送金を指示するボイスフィッシング(vishing)や、ビデオ会議でのディープフェイクまで登場しています。詳しくは柱BのAIボイスフィッシング・ディープフェイク詐欺で扱っていますが、要点は「文面の不自然さ」で見破る時代は終わりつつあるということ。だからこそ、人の注意力だけに頼らない、仕組みでの防御が要になります。
🎯 フィッシングが“初期アクセス”になるまで
注目してほしいのは、フィッシングが成立する経路が2つに枝分かれしている点です。ひとつは偽サイトでの認証情報窃取(その後、正規アカウント悪用 T1078 につながる)。もうひとつは添付ファイルのマクロ実行(次の戦術「実行」へ——これは第3回のテーマです)。この“分岐”を知っていると、どこで断ち切れるかが見えてきます。たとえば認証情報を入力されても、MFAがあれば不正ログインを防げる。マクロが動いても、子プロセスの異常を検知できれば止められる。フィッシング対策は「メールを止める」一点ではなく、各段階に網を張る多層防御なのです。
その“次の一手”を捉える検知の一例が、次のルールです。フィッシング添付(T1566.001)を開いた結果、Office文書が不審な子プロセス(PowerShell等)を起動する——この古典的な兆候を、Sigmaで表すとこうなります。第1回で学んだ tags に、ATT&CKのIDが並んでいる点にも注目してください。
▲ 「Wordやエクセルが、いきなりPowerShellを起動する」のは正常な業務ではめったに起きません。だからこの一行が、フィッシング突破の“最初の悲鳴”を捉えます。検知後の調査はVelociraptorやSIEMへ。
🛡 入口を断つ:対策と検知の優先順位
手口は多彩でも、効く対策は共通しています。費用対効果の高い順に並べました。
ここまで見てきた入口の手口を踏まえ、「何から手をつければ、もっとも入口が固くなるか」を優先順位で整理します。完璧を目指すより、効果の大きいものから着実に。次の順番は、多くの組織にとっての“鉄板”です。
公開資産の棚卸し(ASM)
「外部に何を晒しているか」を把握する。すべての対策は、まず“自社の入口の地図”を持つことから始まる。忘れられた機器こそ最大の穴。
MFA(多要素認証)の全面導入
フィッシング・正規アカウント悪用・リモートサービス、3つの入口に同時に効く“最強の一手”。パスワードが盗まれても、もう一段で止まる。
パッチ管理(とくに公開機器)
VPN・Webアプリ・メールサーバーの脆弱性は、最優先で塞ぐ。日本のランサム最大経路への、直接の対策。
RDP/VPNの露出最小化
不要な外部公開を閉じ、アクセス元を絞る。「開ける必要が本当にあるか」を問い直すだけで、攻撃面は大きく縮む。
メール対策(DMARC/SPF/DKIM+サンドボックス)
なりすましメールを技術的にはじき、添付は隔離環境で検査。人が判断する前に、機械で減らす。
ユーザー教育と「報告できる文化」
怪しいと思ったら、ためらわず報告できる空気を作る。“引っかかった人を責めない”ことが、早期検知につながる。
そして、入口対策とセットで考えたいのが「検知の目」です。どんなに固めても、入口を完全に塞ぎきることはできません。だから“破られた瞬間に気づく”仕組みが要ります。初期アクセスの段階で、どのログを見れば異変に気づけるか——着眼点をまとめます。
| 侵入口 | 見るべきログ・データソース | 関連する当サイトの記事 |
|---|---|---|
| フィッシング突破 | メールゲートウェイのログ/プロセス生成ログ(Office→子プロセス) | Sigmaで検知 |
| 公開アプリ脆弱性 | WAF・IDS/IPSのアラート/Webサーバーのアクセスログ | Wiresharkで通信解析 |
| リモートサービス/正規アカウント | 認証ログ(失敗連発・不可能移動・深夜の成功) | SIEMで相関分析 |
| 侵入後の探索 | 端末のプロセス・ネットワーク接続を全台横断で確認 | Velociraptorでハント |
□ 外部公開している資産(IP・ドメイン・サービス)を一覧化したか/□ 外部からのログインすべてにMFAを設定したか/□ VPN・公開Webアプリのパッチ適用状況を確認したか/□ 使っていないRDP/VPNの外部公開を閉じたか/□ メールにSPF・DKIM・DMARCを設定したか/□ 漏洩パスワードの使い回しがないか確認したか/□ 「怪しいメールを報告する窓口」を全員が知っているか/□ 万一突破された時の初動手順を用意したか。まずは上から3つ——棚卸し・MFA・パッチだけでも、入口は見違えるほど固くなります。
最後に、忘れてはいけない前提を。「完璧な入口防御」は存在しません。新たな脆弱性は次々に見つかり、巧妙なフィッシングは一定の確率ですり抜けます。だからこそ、予防(入口を固める)・検知(破られたら気づく)・対応(素早く封じる)の三段構えが必要です。入口で防ぎきれなかった時のために、インシデント対応プレイブックを準備しておく。これが、現実的で強い守りの形です。
📚 用語集・FAQ・次に読む
今回の用語の整理と、よくある疑問。そして連載・第3回の予告です。
偵察と初期アクセス——攻撃の“入口”は、防御側にとって最大の勝負どころでした。「偵察は見られて困る情報を減らす、初期アクセスは触れてきた瞬間を捉える」。この戦い分けと、棚卸し・MFA・パッチという3つの軸さえ押さえれば、入口はぐっと固くなります。仕上げに、用語とFAQで知識を定着させましょう。
📖 用語集
| 用語 | 意味 |
|---|---|
| 偵察(Reconnaissance) | 攻撃者が標的の情報を集める戦術。TA0043。受動的(OSINT)と能動的(スキャン)がある。 |
| リソース開発 | 攻撃に使う道具・偽ドメイン・C2インフラ等を準備する戦術。TA0042。 |
| 初期アクセス | 標的ネットワークに最初の足がかりを得る戦術。TA0001。攻撃の入口。 |
| アタックサーフェス管理(ASM) | 外部に晒している資産を、攻撃者目線で把握・管理する取り組み。 |
| スピアフィッシング | 特定の個人・組織に狙いを定めた、作り込まれたフィッシング。 |
| T1190(公開アプリ脆弱性) | 外部公開された機器・アプリの脆弱性を突く初期アクセス手口。 |
| T1133(外部リモートサービス) | RDP/VPN等、外部から入る正規ルートの悪用。 |
| T1078(正規アカウント) | 盗んだ本物の認証情報でログインする手口。検知が難しい。 |
| タイポスクワッティング | 正規ドメインに酷似した偽ドメインを取得する手口。 |
| MFA(多要素認証) | パスワードに加え別要素で本人確認。入口対策の最重要施策。 |
| DMARC/SPF/DKIM | なりすましメールを技術的に検証・排除するメール認証の仕組み。 |
| サプライチェーン侵害 | 取引先や正規ソフトの配布経路を踏み台にする間接侵入。T1195。 |
❓ よくある質問(FAQ)
偵察は検知できないなら、対策のしようがないのでは?
偵察そのものを止めるのは困難ですが、「見られて困る情報を減らす」ことはできます。公開資産の棚卸し(ASM)、不要な情報の非公開化、従業員のSNSリテラシー向上が中心です。攻撃者と同じ視点で自社を調べ、先回りして穴を塞ぐ——これが偵察への最良の備えです。能動的スキャンはIDS等で一部検知も可能です。
結局、いちばん効く入口対策は何ですか?
多くの組織にとって「MFAの全面導入」と「公開機器のパッチ・棚卸し」の2つが、費用対効果で群を抜きます。MFAはフィッシング・正規アカウント悪用・リモートサービスの3つに同時に効き、パッチ・棚卸しは日本のランサム最大経路(VPN/RDP)を直接塞ぎます。まずはこの2本柱から始めるのが王道です。
MFAを入れれば、フィッシングはもう怖くないですか?
MFAは非常に強力ですが、万能ではありません。リアルタイムで認証コードを盗む「中間者型フィッシング」や、承認を連打させる「MFA疲労攻撃」など、MFAを狙う手口も登場しています。だからMFAを土台にしつつ、メール対策・教育・検知を重ねる多層防御が大切です。「一枚の盾」ではなく「何枚もの網」で考えましょう。
中小企業ですが、ASMやSIEMは大げさでは?
大規模な専用ツールは必須ではありません。ASMの第一歩は「自社のドメイン・公開IP・使っているクラウドを書き出す」という棚卸しから。Shodanのような無料サービスで自社を検索してみるだけでも、思わぬ露出に気づけます。規模に関わらず、MFA・パッチ・棚卸しは効果が大きく、低コストで始められます。
攻撃の入口の手口を知ること自体、危なくないですか?
この記事は攻撃の手順書ではなく、「どんな入口が狙われ、どう気づき、どう塞ぐか」を整理した防御者向けの知識です。相手の手口を知らなければ、守りは設計できません。ただし、得た知識は必ず自分が管理・許可された環境での防御と検証にのみ使ってください。他者のシステムへ無断で試せば犯罪です。ペネトレーションテストも、許可と契約のもとで行う“正規の検証”です。
第1回の「14戦術」と、今回の話はどうつながりますか?
今回扱った偵察・リソース開発・初期アクセスは、第1回で見た14戦術の、まさに最初の3つです。攻撃の物語の“幕開け”を深掘りしたことになります。次回からは、侵入後に攻撃者が何をするか——「実行」「永続化」へと、地図を東へ進んでいきます。
🧭 次に読む
🎯 連載・入口の周辺
🔬 検知と対応
🗺️ 全体像と土台
入口を突破した攻撃者は、次に何をするのか。第3回は、侵入したコードを動かす「実行(Execution)」と、再起動でも消えないよう住みつく「永続化(Persistence)」を深掘りします。今回ちらりと登場した「Office文書からのPowerShell起動」が、まさにその入口。地図を、さらに一歩東へ進めましょう。
📚 参考・出典(一次情報)
- MITRE ATT&CK 公式 — Reconnaissance(TA0043)/Resource Development(TA0042)/Initial Access(TA0001)の各戦術・技術ページ
- 警察庁「サイバー空間をめぐる脅威の情勢等について」— ランサムウェア被害の感染経路(VPN機器・RDPが多数)
- IPA「情報セキュリティ10大脅威」— 組織向けの脅威(ランサム・標的型攻撃・サプライチェーン等)
- JPCERT/CC — 注意喚起・インシデント報告(フィッシング・公開機器の脆弱性悪用)
- NIST SP 800-63 / CISA — 多要素認証(MFA)・アタックサーフェス縮小のガイダンス/DMARC・SPF・DKIM(RFC)
コメント