はじめに
Red Team やペネトレーションテストにおいて、
「その IP は誰のものか?」 を正確に見極めることは、技術以前に契約と倫理の問題です。
そこで非常に強力なのが Censys Search です。
Censys は、インターネット全体を継続的にスキャンし、IP アドレスやドメインに関する実測データを検索できるプラットフォームです。
Censys Search とは
Censys Search は、以下のような情報を提供します。
- IP アドレスに紐づくサービス情報
- 開放ポート(80 / 443 / 22 / 8080 など)
- TLS 証明書の情報
- ホスティング事業者・CDN の判定
- 同一 IP 上で提供されている複数サービスの可視化
単なる DNS や WHOIS とは異なり、
「実際にインターネットからどう見えているか」 をベースにしたデータである点が最大の特徴です。
cafe.thmredteam.com の IP を Censys で調査する
ここでは例として、cafe.thmredteam.com が解決される IP アドレスの一つを Censys Search で調査します。
1. IP アドレスを検索
Censys に IP を入力すると、即座に次のような情報が確認できます。
- 該当 IP の所有組織
- ASN(Autonomous System Number)
- 提供されているサービスとポート一覧
このケースでは、その IP アドレスが Cloudflare に属していることが容易に分かります。
Cloudflare 配下であることの意味
Censys の結果から、以下の点が読み取れます。
- ポート 80(HTTP)
- ポート 443(HTTPS)
- その他の関連ポート
が確認できるものの、
この IP は cafe.thmredteam.com 専用ではない ことが明らかです。
つまり:
- この IP は Cloudflare のエッジ IP
- 多数の Web サイトが同じ IP を共有
- Organic Cafe(クライアント)自身のサーバではない
という状況です。
「共有インフラ」であることを見抜く重要性
ここが 非常に重要なポイントです。
Cloudflare や CDN 配下の IP に対して直接スキャンや攻撃を行うと、
- クライアントとは無関係な第三者システム
- CDN 事業者自身のインフラ
を対象にしてしまう可能性があります。
これは 契約違反 であるだけでなく、
最悪の場合、法的トラブル に発展します。
技術的に「できる」ことと、
契約上「やっていい」ことは、まったく別物です。
Red Team 視点での正しい判断
Censys の結果から導ける、正しい判断は次の通りです。
- この IP は スコープ外
- クライアント(Organic Cafe)が直接管理していない
- 直接的なプロービングやスキャンは 行わない
代わりに:
- オリジンサーバを特定できるか
- DNS 設定やヘッダ情報から裏側が漏れていないか
- Cloudflare の設定ミス(例:WAF, Origin Exposure)
といった 許可範囲内の分析 にフォーカスします。
Censys がスコープ判断に強い理由
Censys は次の点で、スコープ判断に非常に向いています。
- 実測データベース(推測ではない)
- CDN / クラウド事業者の判別が容易
- 同一 IP 上の複数サービスが可視化される
これにより、
「この IP はクライアントのものか?」
「それともインフラ事業者のものか?」
を、感覚ではなく根拠を持って判断できます。
TIP・ViewDNS・Censys の役割分担
ここで整理しておきましょう。
| ツール | 得意分野 |
|---|---|
| TIP | 初動調査の全体像把握 |
| ViewDNS | Reverse IP / DNS 観点 |
| Censys | 実測ベースのインターネット露出 |
| whois / dig | 厳密・再現可能な技術調査 |
Censys は特に、**「触っていいかどうかの境界線」**を見極めるためのツールです。
まとめ
Censys Search を使うことで、
- IP アドレスが 誰のインフラか を特定でき
- CDN やクラウド事業者配下であることを即座に判断でき
- スコープ外への誤爆を確実に防ぐ
ことが可能になります。
Red Team にとって、
優れた技術者とは、スコープを守れる技術者です。
Censys は、その判断力を支える非常に強力な味方と言えるでしょう。