たぶん犯罪にならないネットプロファイリング講座

たぶん犯罪にならないネットプロファイリング講座応用編
２．もう少しいろいろな情報をゲットしてみたい
さて、次に攻撃者の視点に立ってこの2つのサービスの使い方を考えてみましょう。攻撃者は対象の会社（もしくは組織）を攻撃するとして、やみくもにアタックをかけるわけではなく、サイトのネットワーク情報を詳細に調べ、その上で侵入に取り掛かることが多いと言われています。　例えばWebサイトを書き換えるためにそのサイトを攻撃するのではなく、社内にある信頼されている脆弱な別ノードを経由して侵入し、書き換える場合もあります。この方が直接攻撃するよりも効率がよいですからね。　ここでは例として私のWebサイトにアクセスのあったinxx.co.jpという会社（仮名です）のネットワーク情報をwhoisとdigを使ってもう少し詳しく調査してみることにします。
■□　ゾーン情報の取得
まず会社のネットワーク情報を取得するのに一番都合がいい、ゾーン情報を取得してみましょう。ゾーン情報というのはここでは詳しく説明しませんが、プライマリDNSからセカンダリDNSへ渡されるデータのことで、そのDNSの管理しているクライアントの情報がすべて記載されています。　最近はセカンダリサーバー以外に渡さないように設定されているところが多いのですが、運良く管理の甘いDNSサーバーであれば以下のようなゾーン情報が取得できます。　まず、ゾーン情報を得るためには対象ドメインのネームサーバーを知る必要があります。そのためにはNSレコードを見る必要がありますので、NSオプションを追加すればいいのですが、ここでは他のレコードも欲しいのでANYオプションを追加しておきます。 % dig any inxx.co.jp （省略） ;; ANSWER SECTION: inxx.co.jp. 1h59m30s IN A 220.111.37.180 inxx.co.jp. 1h59m30s IN NS ns.inxx.co.jp. inxx.co.jp. 1h59m30s IN NS ns-tk022.ocn.ad.jp. 　これによってinxx.co.jpのDNSサーバーはns.inxx.co.jpだということがわかりました。　次に、このDNSサーバーにアクセスして、調査したいドメインのゾーン情報を取得してみることにします。 % dig @ns.inxx.co.jp. inxx.co.jp. axfr ; <<>> DiG 8.3 <<>> @ns.inxx.co.jp. inxx.co.jp. axfr ; (1 server found) $ORIGIN inxx.co.jp. @ 2H IN SOA ns root ( 2004010301 ; serial 3H ; refresh 15M ; retry 1W ; expiry 2H ) ; minimum 2H IN NS ns 2H IN NS ns-tk022.ocn.ad.jp. 2H IN A 220.111.37.180 2H IN MX 10 @ book 2H IN MX 10 book 2H IN A 219.166.170.245 ds1 2H IN A 219.165.99.74 gw-ng 2H IN A 219.165.99.73 gw-tk 2H IN A 219.166.170.241 mail 2H IN A 220.111.37.180 ml 2H IN MX 10 @ ns 2H IN A 219.166.170.242 ny 2H IN MX 10 ds1.ny 2H IN NS ns.ny 2H IN NS ns-tk022.ocn.ad.jp. ds1.ny 2H IN A 219.165.99.74 ns.ny 2H IN A 219.165.99.74 red 2H IN MX 10 red 2H IN A 219.166.170.242 www 2H IN A 220.111.37.180 @ 2H IN SOA ns root ( 2004010301 ; serial 3H ; refresh 15M ; retry 1W ; expiry 2H ) ; minimum ;; Received 1 answer (22 records). ;; FROM: hack.bogus.jp to SERVER: 219.166.170.242 ;; WHEN: Fri Jan 23 15:22:08 2004 　このゾーン情報を取ることができればサーバー構成は丸分かりですね。
■□　whoisを使ったIPアドレス範囲の取得
とはいえ最近のDNSサーバーはセキュリティ面に配慮するようになったため、誰にでも簡単にゾーン情報を渡してくれなくなっています。世の中なかなか思い通りにはいかないものです。　次にゾーン情報が取得できなかったということにして次はwhoisを使ってみましょう。もちろんゾーン情報を取得してたとしても、ネームサーバーに書かれていない秘密のサーバー、ルーター、クライアントを探す役に立ちます。 % whois -h whois.nic.ad.jp 220.111.37.180 Network Information: [ネットワーク情報] a. [IPネットワークアドレス] 220.111.32.0-220.111.47.0 b. [ネットワーク名] OCN f. [組織名] オープンコンピュータネットワーク g. [Organization] Open Computer Network （以下略）　あれ、これはOCNにホスティングされているようですね。　次にDNSサーバーは別のネットワークにあるようなのでこちらにもwhoisしてみます。 % whois -h whois.nic.ad.jp 219.166.170.242 オープンコンピュータネットワーク (Open Computer Network) SUBA-131-15I [サブアロケーション] 219.166.170.0 株式会社インターXXX (Inter XXX) INXX-CO-JP [219.166.170.240 <-> 219.166.170.247] 219.166.170.240/29 　これはクラスCより小さい範囲でIPの範囲が割り振られていることを表しています。上記を例に説明しますと、クラスCネットワーク219.166.170.0/24はOCNのものですが、その中の219.166.170.240/29は、この会社に割り振られていることになります。　これに関しては、 % whois -h whois.nic.ad.jp 219.166.170.240/29 とすることで、この会社の登録情報を調べることができます。　これを見るとこの会社は219.166.170.240～247のIPアドレス範囲を持っているということもわかりました。OCN固定IP8個プランってやつですか。高い金を払ってIPアドレスを8個確保しているわけですからここらへんにも何かサーバーでも置いてありそうな気がします。　他にありがちなmailやpop、smtpなどでも適当に試してみると、他のIPアドレス範囲を持っていることもありますので調べてみるといいでしょう。　このように攻撃者は合法的にたった２つのコマンドによってネットワーク情報をある程度把握することが可能です。そして、見つけたサイトにスキャンしてみたりして、ターゲットを絞り込んでいくような気がしますが、私は善良な一市民ですのでこれ以上のことは知りません。（おわり）初出：WizardBible Vol.8 http://akademeia.info/wizardbible/

たぶん犯罪にならないネットプロファイリング講座応用編

２．もう少しいろいろな情報をゲットしてみたい

　さて、次に攻撃者の視点に立ってこの2つのサービスの使い方を考えてみましょう。攻撃者は対象の会社（もしくは組織）を攻撃するとして、やみくもにアタックをかけるわけではなく、サイトのネットワーク情報を詳細に調べ、その上で侵入に取り掛かることが多いと言われています。
　例えばWebサイトを書き換えるためにそのサイトを攻撃するのではなく、社内にある信頼されている脆弱な別ノードを経由して侵入し、書き換える場合もあります。この方が直接攻撃するよりも効率がよいですからね。

　ここでは例として私のWebサイトにアクセスのあったinxx.co.jpという会社（仮名です）のネットワーク情報をwhoisとdigを使ってもう少し詳しく調査してみることにします。

■□　ゾーン情報の取得

　まず会社のネットワーク情報を取得するのに一番都合がいい、ゾーン情報を取得してみましょう。ゾーン情報というのはここでは詳しく説明しませんが、プライマリDNSからセカンダリDNSへ渡されるデータのことで、そのDNSの管理しているクライアントの情報がすべて記載されています。
　最近はセカンダリサーバー以外に渡さないように設定されているところが多いのですが、運良く管理の甘いDNSサーバーであれば以下のようなゾーン情報が取得できます。

　まず、ゾーン情報を得るためには対象ドメインのネームサーバーを知る必要があります。そのためにはNSレコードを見る必要がありますので、NSオプションを追加すればいいのですが、ここでは他のレコードも欲しいのでANYオプションを追加しておきます。

% dig any inxx.co.jp

（省略）

;; ANSWER SECTION:
inxx.co.jp. 1h59m30s IN A 220.111.37.180
inxx.co.jp. 1h59m30s IN NS ns.inxx.co.jp.
inxx.co.jp. 1h59m30s IN NS ns-tk022.ocn.ad.jp.

　これによってinxx.co.jpのDNSサーバーはns.inxx.co.jpだということがわかりました。
　次に、このDNSサーバーにアクセスして、調査したいドメインのゾーン情報を取得してみることにします。

% dig @ns.inxx.co.jp. inxx.co.jp. axfr

; <<>> DiG 8.3 <<>> @ns.inxx.co.jp. inxx.co.jp. axfr
; (1 server found)
$ORIGIN inxx.co.jp.
@ 2H IN SOA ns root (
2004010301 ; serial
3H ; refresh
15M ; retry
1W ; expiry
2H ) ; minimum

2H IN NS ns
2H IN NS ns-tk022.ocn.ad.jp.
2H IN A 220.111.37.180
2H IN MX 10 @
book 2H IN MX 10 book
2H IN A 219.166.170.245
ds1 2H IN A 219.165.99.74
gw-ng 2H IN A 219.165.99.73
gw-tk 2H IN A 219.166.170.241
mail 2H IN A 220.111.37.180
ml 2H IN MX 10 @
ns 2H IN A 219.166.170.242
ny 2H IN MX 10 ds1.ny
2H IN NS ns.ny
2H IN NS ns-tk022.ocn.ad.jp.
ds1.ny 2H IN A 219.165.99.74
ns.ny 2H IN A 219.165.99.74
red 2H IN MX 10 red
2H IN A 219.166.170.242
www 2H IN A 220.111.37.180
@ 2H IN SOA ns root (
2004010301 ; serial
3H ; refresh
15M ; retry
1W ; expiry
2H ) ; minimum

;; Received 1 answer (22 records).
;; FROM: hack.bogus.jp to SERVER: 219.166.170.242
;; WHEN: Fri Jan 23 15:22:08 2004

　このゾーン情報を取ることができればサーバー構成は丸分かりですね。

■□　whoisを使ったIPアドレス範囲の取得

　とはいえ最近のDNSサーバーはセキュリティ面に配慮するようになったため、誰にでも簡単にゾーン情報を渡してくれなくなっています。世の中なかなか思い通りにはいかないものです。
　次にゾーン情報が取得できなかったということにして次はwhoisを使ってみましょう。もちろんゾーン情報を取得してたとしても、ネームサーバーに書かれていない秘密のサーバー、ルーター、クライアントを探す役に立ちます。

% whois -h whois.nic.ad.jp 220.111.37.180

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 220.111.32.0-220.111.47.0
b. [ネットワーク名] OCN
f. [組織名] オープンコンピュータネットワーク
g. [Organization] Open Computer Network

（以下略）

　あれ、これはOCNにホスティングされているようですね。
　次にDNSサーバーは別のネットワークにあるようなのでこちらにもwhoisしてみます。

% whois -h whois.nic.ad.jp 219.166.170.242

オープンコンピュータネットワーク (Open Computer Network)
SUBA-131-15I [サブアロケーション] 219.166.170.0
株式会社インターXXX (Inter XXX)
INXX-CO-JP [219.166.170.240 <-> 219.166.170.247] 219.166.170.240/29

　これはクラスCより小さい範囲でIPの範囲が割り振られていることを表しています。上記を例に説明しますと、クラスCネットワーク219.166.170.0/24はOCNのものですが、その中の219.166.170.240/29は、この会社に割り振られていることになります。
　これに関しては、

% whois -h whois.nic.ad.jp 219.166.170.240/29

とすることで、この会社の登録情報を調べることができます。
　これを見るとこの会社は219.166.170.240～247のIPアドレス範囲を持っているということもわかりました。OCN固定IP8個プランってやつですか。高い金を払ってIPアドレスを8個確保しているわけですからここらへんにも何かサーバーでも置いてありそうな気がします。
　他にありがちなmailやpop、smtpなどでも適当に試してみると、他のIPアドレス範囲を持っていることもありますので調べてみるといいでしょう。

　このように攻撃者は合法的にたった２つのコマンドによってネットワーク情報をある程度把握することが可能です。そして、見つけたサイトにスキャンしてみたりして、ターゲットを絞り込んでいくような気がしますが、私は善良な一市民ですのでこれ以上のことは知りません。
（おわり）

初出：WizardBible Vol.8
http://akademeia.info/wizardbible/