すべてのウェブサイトは情報を放ちます。セキュリティの侵害や設定ミスではなく、単にインターネット上の存在するだけでです。DNSレコード、SSL証明書、HTTPヘッダー、技術フィンガープリント、WHOISデータ、および数十のその他の信号は、探す人が分かれば誰でも見ることができます。これはパッシブリコンです。これは、ターゲットシステムに一切触れることがなく、公開された情報源からインテリジェンスを収集する実践です。
もし企業を運営し、セキュリティを管理する立場にあり、または企業のデジタルプレゼンスに基づいた意思決定を行う場合、パッシブリコンが何を明らかにするかを理解することは必須です。それは、現在、競合他社や攻撃者、潜在的なパートナーが実際に見ている情報と同じです。
パッシブリコンとは、ターゲットのシステムと一切のやり取りを行わずに、公開されたデジタル信号を観察することを指します。ログイン試行や脆弱性スキャン、フォーム送信、アクティブな探査行為は一切行いません。街から建物を見ているようなイメージです。住所や階数、外壁のセキュリティカメラ、会社の看板、駐車場の車両などを確認できますが、建物内に入ったりドアを試したりはしていません。
デジタルの観点から見ると、これはターゲットのインフラがインターネット上で機能するために自発的に公開するデータを分析することを意味します。トラフィックをルーティングするDNSレコード、公開透過性ログに登録されたSSL証明書、サーバーのソフトウェアを特定するHTTPヘッダー、すべての訪問者のブラウザに配信されるHTML/JavaScriptコードなどが該当します。
構造化されたパッシブな情報収集分析が抽出する内容と、各カテゴリが組織についてどのように情報を明らかにするかを以下に示します。
CMS(WordPress、Shopify、カスタム)、JavaScriptフレームワーク(React、Vue、Angular)、分析ツール(GA4、Mixpanel)、決済プロセッサ、CDNプロバイダー、ページに読み込まれるすべてのサードパーティスクリプト。公開されたHTML/JSからだけでも3,000以上のテクノロジーを指紋検出できます。
SSL証明書の詳細(発行者、有効期限、カバレッジ)、セキュリティヘッダー(またはその欠如—HSTS、CSP、X-Frame-Options)、Cookie属性(HttpOnly、Secure、SameSite)、および明らかになる誤設定。Content-Security-Policyの欠如は、サイトがXSS攻撃に脆弱である可能性を攻撃者に伝えます。
IPアドレス、ホスティングプロバイダー、ASN、サーバーのジオロケーション、MXレコードによるメールインフラ、TXTレコードによるサードパーティ統合(SPF、DKIM、SaaSツールのドメイン検証)、ネームサーバー設定。
証明書透過性ログは、ドメインに対して発行されたすべてのSSL証明書を記録します。これにはサブドメインも含まれ、内部プロジェクト名やステージング環境、パートナー統合、公開されることを意図しなかったインフラを明らかにすることがあります。
HTMLに埋め込まれたメールアドレス、サイトからリンクされるSNSプロフィール、電話番号、営業時間、Aboutページのチームメンバー名、テクノロジー選択を示す採用情報、組織構造のシグナル。
ドメイン登録日、レジストラ、ネームサーバー履歴、プライバシープロテクションが有効でない場合の登録者名、組織名、連絡先詳細。プライバシープロテクションが有効でも、登録日やネームサーバーのパターンは運用履歴を示します。
メタタグ、見出し構造、robots.txtのルール(どのディレクトリを隠していますか?)、サイトマップの内容(URL構造やコンテンツ構成を示す)、索引化ステータス。robots.txtで禁止された/admin/パスは、そのURLに管理パネルが存在することを確認します。
クッキー同意の実装(または欠如—GDPRの警告)、プライバシーポリシーの品質、利用規約、ニュースレターやサブスクリプションの指摘、CRMおよびマーケティングオートメーションプラットフォーム、ビジネスモデルのシグナル(EC、SaaS、コンサルティング)。
ご自身の組織に対してパッシブレコネス評価を行っていなければ、すでに他者が行っています。すべてのペネトレーションテストはパッシブレコネスから始まります。すべての集中的なフィッシングキャンペーンは、ご組織の技術スタック、メールインフラ、従業員情報を理解することから始まります。問題はこのデータがアクセス可能かどうかではなく、何が公開されているかを把握し、各シグナルについて意識的な判断を行っているかです。
ウェブサイトはご組織の最も公開された資産であり、マーケティングコピー以上に多くの情報を伝えています。競合がパッシブレコネスを行うことで、ご組織の技術投資、ベンダー関係、採用優先順位(求人情報から)、運営熟練度が明らかになる可能性があります。パートナーや投資家が対象調査を行う際には、連絡を取る前にまず外部からセキュリティ体制とコンプライアンス対応の準備状況を評価します。
セキュリティ体制を明らかにする同じシグナルが、ビジネス機会を示します。古いソフトウェアを使用し、分析ツールがなくセキュリティヘッダーが欠けている見込み客には、明確なニーズがあります。パッシブレコネスにより、冷たいアプローチを情報に基づいたコンサルティング型営業に転換できます。なぜなら、最初の会話に入る前にすでに解決すべき問題を把握しているからです。
パッシブな情報収集を防ぐことはできません。インフラが機能するために必要なデータが存在するからです。しかし、自覚的にリスクを管理することは可能です。
個別のシグナルはデータポイントです。相関するシグナルはインテリジェンスです。WordPress 5.xで構築された技術スタックでWebアプリケーションファイアウォール (WAF) が存在せず、セキュリティヘッダーが不足し、robots.txtに/wp-admin/パスが公開されており、有効期限切れ間近のLet's Encrypt証明書が使用されているという状況は、非常に特定された物語を語ります。これは攻撃者、競合企業、または潜在顧客がそれぞれ自身の目的に応じて解釈できるものです。
このため、現代の受動型偵察は単にシグナルを収集することだけではなく、次元にわたってそれらを相関させ、結果をスコアリングすることが重要です。3つのセキュリティヘッダーが不足しているサイトは懸念されます。3つのセキュリティヘッダーが不足しており、かつ分析ツールが未導入で、Cookie同意がされておらず、CMSが古いサイトは、体系的な無策を示すパターンです。このパターンはセキュリティリスク、ビジネス成熟度、および営業機会に同時に影響を与える可能性があります。
Submit a target URL and receive a complimentary intelligence assessment within 24 hours.