ポートスキャンとサブドメイン探索
ホストやドメインを手にして、それが何を露出しているか知りたいですか。それぞれ用途の異なる2つの道があります。ポートスキャンはホストがどのポートを開き、どんなサービスを動かしているかを能動的に探ります。サブドメイン探索は公開データだけを読み取り、ターゲットに触れることなく、あるドメインの下のサブドメインを掘り出します。
1. ポートスキャン:ホストがどのポートを開き、どんなサービスを動かしているか
Section titled “1. ポートスキャン:ホストがどのポートを開き、どんなサービスを動かしているか”ホスト名または IP を入力すると、それが開いている TCP ポートを素早くスキャンし、進捗が「N 個の開放を発見」とともにリアルタイムで表示されます。開いている各ポートには3つの列が表示されます。
- ポート番号。
- サービス名:まずポートから推測し、次にキャプチャしたバナーで精緻化するので、非標準ポートで動く SSH、redis、mysql などでも認識できます。
- バナー:キャプチャしたサービスの応答メッセージ。HTTP ポートの場合はステータス行と
Serverヘッダーを示します。
スキャン範囲は3つのうちの1つです。一般的なポート(既定、高頻度ポートを厳選したセット)、全ポート(1-65535)、またはカスタム(たとえば 80,443,8000-8100)。バナー取得はオフに切り替えられ、オフのときもポートからサービス名を付けますが、応答メッセージの取得やそれによる精緻化は行いません。開放ポート一覧はポート番号で並べ替えられます。すぐに使え、追加のドライバーや権限は不要です。
非標準ポートも認識:SSH、redis、mysql などが通常と異なるポートで動いているとき、ポート番号からサービスを推測するだけの一般的なスキャンは判定を誤ります。ここではキャプチャしたバナーで推測を精緻化するので、どのポートで動いていても本当のサービスが認識されます。

2. サブドメイン探索:パッシブにドメインのサブドメインを割り出す
Section titled “2. サブドメイン探索:パッシブにドメインのサブドメインを割り出す”ドメインを入力すると、複数の公開情報ソースを集約して並列にクエリし、その下のサブドメインを列挙します。ソースは2つのカテゴリー(それぞれヒット数付き)に分かれます。証明書透明性ログとパッシブ DNS です。結果は自動で重複除去と並べ替えが行われ、リアルタイムのフィルタリングとワンクリックの全件コピーが可能です。あるソースが一時的に利用できなかったり、レート制限を受けたりしても、残りの足を引っ張ることはありません。他のソースは通常どおり結果を返し、それぞれヒット数が付されます。
公開データだけを読み取り、ターゲットには一切触れない:全過程を通じて、クエリするのは公開データセットだけで、ターゲットのドメインやそのサーバーにリクエストを一切送りません。これが能動的なスキャンとの根本的な違いです。

3. 能動 vs 受動、どう組み合わせるか
Section titled “3. 能動 vs 受動、どう組み合わせるか”| ポートスキャン | サブドメイン探索 | |
|---|---|---|
| ターゲット | ホスト / IP | ドメイン |
| 手法 | ターゲットのポートを能動的に探る | 公開情報を受動的にクエリ |
| ターゲットに触れるか | はい(そのポートに直接接続) | いいえ(公開データだけを読む) |
| 得られるもの | 開放ポート + サービス + バナー | 露出したサブドメインの一覧 |
まずサブドメイン探索で、公開データだけからドメインの資産面を広げ、次に選んだホストに対してポートスキャンを実行して、どのサービスが開いているかを検証します。受動的に面を広げ、能動的に点を検証すれば、1周した後には外向きの露出面がはっきりします。
4. 使いどころ
Section titled “4. 使いどころ”- ある機器やサーバーの外向きのサービス面を把握する。どのポートが開き、そこでおおよそ何が動き、バナーが何を語るか。
- ドメインだけを手にしていて、公開データだけからその露出サブドメインを棚卸ししたい。
- 資産棚卸しと外向き露出面のマッピング。サブドメインを受動的に掘り、ポートを能動的に検証し、両者を組み合わせる。