OWASP Amass: 攻撃対象領域マッピングとアセット検出ツールの完全ガイド

組織が所有するサブドメイン、自律システム番号（ASN）、その他のアセットを列挙するためのオープンソースツールやソフトウェアは数多く存在します。これらのツールの多くは特定の方法を利用する点では優れていますが、常に最新の技術や方法論に対応するために積極的にメンテナンスされ、更新されているわけではありません。実のところ、利用可能なツールの多くは完全ではなく、これらにのみ依存すると、誤った安心感を与えたり、脆弱なアセットを見逃したりする可能性があります。

現在、サブドメインはソーシャルメディア、Pastebin、ソースコードリポジトリ、HTTPヘッダーなど、どこでも公開される可能性があります。AmassはOWASPによって支援されており、その結果に信頼性と自信をもたらします。積極的にメンテナンスされており、長期間サポートされる可能性が高いため、将来の変更や新技術にも対応できるでしょう。これは、概念実証やエンゲージメントで使用する上でより信頼できるツールとなり、組織の攻撃対象領域の定期的なマッピングに使用することをクライアントやマネージャーに納得させやすくなる可能性があります。

Amassが優れている技術的な理由はいくつかあります。これらについては後ほど詳しく説明し、実演します。

• 複数のサブコマンド（機能）を備えています。
• サブドメイン発見と情報収集技術の一環として、多数のソース（APIやウェブサイトなど）をサポートしています。現在、80以上のソースをサポートしています。
• DNS列挙のための様々な情報収集技術を採用しています。（例：ブルートフォース、SSL/TLS証明書の読み取り、ゾーン転送、証明書透明性ログなど）
• 設定ファイルを使用して構成できるため、メンテナンス、使用、スクリプトとの統合が容易です。
• サブコマンド間で引数の一貫性を維持しようとしており、学習コストを低減します。

Amassは様々な方法でインストールできます。お使いの環境に合わせて選択してください。

• ソースからコンパイル: Go言語環境（Go 1.20以上推奨）が適切に設定されている場合、ソースコードから直接コンパイルできます。

  go install -v github.com/owasp-amass/amass/v4/...@master

• Dockerを使用: Dockerイメージを利用してAmassを実行できます。これにより、環境構築の手間を省けます。

  docker pull owasp/amass:latest
  docker run -v $(pwd)/amass-output:/amass/output owasp/amass:latest enum -d example.com

  $(pwd)/amass-output はホストマシン上の出力ディレクトリ、/amass/output はコンテナ内のパスです。これにより、実行後も結果がホストマシンに残ります。

• パッケージマネージャー: お使いのLinuxディストリビューションによっては、パッケージマネージャー（例: apt, yum, snap, brew）でインストールできる場合があります。

  # Snap (Ubuntuなど)
  sudo snap install amass
  # Homebrew (macOS)
  brew tap caffix/amass
  brew install amass

  Kali Linuxにはデフォルトでインストールされていることが多いです。

• リリース済みバイナリ: GitHubのリリースセクションから、お使いのOS用のコンパイル済みバイナリをダウンロードすることもできます。ダウンロード後、解凍してパスの通ったディレクトリに配置すれば使用できます。

詳細なインストール手順については、公式のインストールガイドを参照してください。

Amassツールには、調査を処理するためのいくつかのサブコマンドがあります。これらは連携して動作し、強力な攻撃対象領域マッピング機能を提供します。

これらのサブコマンドは、場合によっては組み合わせて使用でき、複数のAmass操作を実行するスクリプトを作成できます。各サブコマンドには独自のオプションがありますが、-h または --help フラグを使用することで、いつでも使用法を確認できます（例: amass intel -h）。

また、すべてのサブコマンドに共通するグローバルフラグもいくつかあります。

amass intel サブコマンドは、調査対象の組織に関連する追加のルートドメイン名を発見するのに役立ちます。主にオープンソースインテリジェンス（OSINT）を活用します。設定ファイル（後述）のデータソースセクションを利用して、リバースWhois情報などのパッシブインテリジェンスを取得します。

基本的な使用法:

amass intel -d owasp.org

特定のドメインに関連する他のドメインを見つけるために、-whois フラグは非常に有効です。これは、指定されたドメインのWhoisレコードの詳細を取得し、類似のWhoisレコードを持つ他のドメインを探します。

amass intel -d owasp.org -whois

出力例 (ドメイン名は例です):

appseceu.com
owasp.com
appsecasiapac.com
appsecnorthamerica.com
appsecus.com
owasp.org
appsecapac.com
appsecla.org

また、ASN（自律システム番号）、CIDR（クラスレス・インタードメイン・ルーティング）、IPアドレス範囲を指定して、関連するドメインを検索することもできます。

# ASNを指定
amass intel -asn 13374,14618
# IPアドレス範囲を指定
amass intel -addr 192.168.1.1-254
# CIDRを指定
amass intel -cidr 10.0.0.0/24,172.16.0.0/16

-active フラグを使用すると、より積極的な手法を試みます。例えば、証明書の名前を取得しようとしたり、指定されたポートに対して接続を試みたりします。注意: アクティブなスキャンを実行する際は、必ず対象組織から許可を得てください。

# アクティブな手法を有効にしてIP範囲をスキャンし、特定のポートで証明書を取得
amass intel -active -addr 192.168.2.1-64 -p 80,443,8080

amass intel の主要なオプション:

amass enum は、Amassの最も強力な機能が集約されているサブコマンドです。DNS列挙とターゲットのネットワークマッピングを実行し、組織が公開している攻撃対象領域を特定します。発見された情報はグラフデータベース（デフォルトまたは -dir で指定された出力ディレクトリ内）に保存されます。

最も基本的な使い方:

amass enum -d example.com

このコマンドは、デフォルトでデータソースから情報を取得し、DNSを使用して発見事項を検証し、さらにスコープ内の名前空間（提供されたドメイン名）を調査します。

動作モード: パッシブ、アクティブ、ノーマル

amass enum は、主に3つのモードで実行できます。

• パッシブモード (-passive): データソースから情報を取得するだけで、DNS検証などのアクティブな確認は行いません。ターゲットに直接的な通信を行わないため、検出されるリスクが低く、迅速に結果を得たい場合に適しています。ただし、DNSブルートフォースなどの多くの高度な技術は利用できません。

  amass enum -passive -d owasp.org

• アクティブモード (-active): ノーマルモードのすべての機能に加え、発見されたアセットにアクセスし、TLS証明書の取得、DNSゾーン転送の試行、NSECウォーキング、ウェブクローリングなどを実行します。最も包括的な結果が得られますが、ターゲットへの通信量が最も多くなります。繰り返しになりますが、アクティブスキャンは許可が必要です。

  amass enum -active -d example.com -p 80,443,8080

• ノーマルモード (フラグなし): パッシブモードとアクティブモードの中間に位置します。データソースからの情報を利用しつつ、DNSクエリを実行して結果を検証し、基本的な調査を行います。

  amass enum -d example.com

重要なオプション

amass enum には多数のオプションがありますが、特に重要なものをいくつか紹介します。

組み合わせ例:

# より多くのサブドメインを見つけるために、アクティブモード、CIDR、ASNを組み合わせる
amass enum -active -d example.com -cidr 1.2.3.4/24,4.3.2.1/24 -asn 12345 -o example_results.txt

（事前に amass intel などでCIDRやASNを特定しておく必要があります）

# パッシブモードで実行し、結果のソースを表示
amass enum -passive -d owasp.org -src

出力例:

[ThreatCrowd] update-wiki.owasp.org
[DNSDumpster] www.lists.owasp.org
[Crtsh] my.owasp.org
...

amass viz サブコマンドを使用すると、収集した情報（Amassグラフデータベースに保存されている）を視覚化できます。これにより、発見されたアセット間の関係性を理解しやすくなります。結果はMaltegoにインポートして、さらなるOSINT分析を行うことも可能です。

最も一般的な使い方は、HTMLファイルとしてインタラクティブなグラフを生成することです。

# 最新のenum実行結果を基にD3.jsグラフを生成
amass viz -d3 -o owasp_graph.html

このコマンドは、最後に実行された enum の結果（デフォルトまたは -dir で指定されたディレクトリ内）を使用して、owasp_graph.html というファイルを作成します。ブラウザで開くと、ノード（ドメイン、サブドメイン、IPアドレスなど）とそれらを結ぶエッジ（関連性）が表示されます。

他の出力形式も利用可能です。

視覚化は、特に大規模なネットワークや複雑な関係性を把握するのに役立ちますが、バグバウンティハンターなど、具体的なサブドメインリストを重視する場合にはあまり使用されないかもしれません。しかし、レポート作成やプレゼンテーションには非常に有効です。

組織のインフラストラクチャは常に変化しています。新しいドメインやサブドメインが日々追加されたり、削除されたりします。amass track サブコマンドは、同じターゲットに対して実行された複数の enum スキャンの結果を比較し、その差分を報告します。これは、新しく出現したアセットを発見したり、インフラの変更を監視したりするのに非常に強力です。

Amassは、実行するたびに結果を（デフォルトまたは -dir で指定された）出力ディレクトリ内のグラフデータベースに保存します。track は、この保存された履歴データを利用します。

例として、同じターゲットドメインに対して異なる時期に2回 enum を実行したとします。

# 1回目のスキャン (例: 6月)
amass enum -d owasp.org -dir owasp_scan_results
# 2回目のスキャン (例: 8月)
amass enum -d owasp.org -dir owasp_scan_results

その後、track を使用して、これら2回のスキャンの差分を表示できます。デフォルトでは、直近2回のスキャンが比較されます。

amass track -d owasp.org -dir owasp_scan_results

出力の中で特に注目すべきは、「Found」で始まる行です。これは、以前のスキャンでは特定されなかったサブドメインが、新しいスキャンで発見されたことを意味します。

[...]
Found: new-subdomain1.owasp.org (ASN...)
Found: another-new.owasp.org (ASN...)
Removed: old-subdomain.owasp.org
[...]

主要なオプション:

track を使用するには、比較したいスキャンが同じ出力ディレクトリ（グラフデータベース）に対して実行されている必要があります。この機能を定期的に実行し、新しいアセットが発見された場合にアラートを送信するスクリプトを作成することで、継続的な攻撃対象領域の監視を自動化できます。

Amassのすべての列挙結果は、グラフデータベースに保存されます。amass db サブコマンドを使用すると、このデータベースと対話し、保存されている情報を表示したり、管理したりできます。データベースは、デフォルトの出力ディレクトリにあるか、-dir フラグで指定されたディレクトリにあります。

データベースには、これまでに実行したすべてのスキャンのデータが含まれています。これにより、過去の結果を簡単に参照できます。

主な使用例:

• 実行されたスキャンのリストを表示:

  amass db -list -dir my_scan_data

  これにより、指定したディレクトリ内のデータベースに記録されているすべてのスキャン（列挙）の概要（開始/終了時刻、使用されたドメインなど）が表示されます。

• 特定のスキャンまたはドメインの結果を表示:

  # 特定の列挙インデックスの結果を表示
  amass db -enum 3 -show -dir my_scan_data
  # 特定のドメインに関するすべての発見事項を表示
  amass db -d example.com -show -dir my_scan_data

  -show フラグは、詳細な情報（ソース、IPアドレスなど）を表示します。

• 発見された名前（ドメイン/サブドメイン）のみを表示:

  amass db -d example.com -names -dir my_scan_data

  -names フラグを使用すると、クリーンな名前のリストが出力されます。

• データベースから情報を削除（注意して使用）:

  # 特定の列挙インデックスのデータを削除
  amass db -enum 3 -delete

主要なオプション:

統計的な目的や履歴管理のために、同じAmass出力ディレクトリを維持することが推奨されます。これにより、amass track や amass db を使用して、過去のデータと比較したり、分析したりすることが容易になります。

Amassの真価を発揮させるためには、設定ファイルの利用が不可欠です。特に、多くのデータソースはAPIキーを必要とします。設定ファイルを使用することで、これらのAPIキーを一元管理し、Amassの機能を最大限に活用できます。

Amass v4以降では、設定は主に2つのYAMLファイルで行われます。

• config.yaml: Amassの全体的な動作、リゾルバ、スコープなどを設定します。
• datasources.yaml: 各データソースのAPIキーや認証情報を設定します。

設定ファイルのデフォルトの場所は、通常 ~/.config/amass/ (Linux/macOS) または %APPDATA%\amass\ (Windows) ですが、-config フラグで任意の場所の config.yaml を指定できます。

設定手順の概要:

1. 設定ディレクトリの作成: デフォルトの場所に amass ディレクトリを作成します (例: mkdir -p ~/.config/amass/)。
2. データソースのリストアップ: どのソースがAPIキーを必要とするか確認します。

   amass enum -list

   リスト内で `(*)` が付いているものがAPIキーが必要です。

3. APIキーの取得: 利用したいデータソースのウェブサイトに登録し、APIキーを取得します。無料プランを提供しているサービスも多いです。 (例: VirusTotal, SecurityTrails, Shodan, GitHub など)
4. datasources.yaml の作成: 設定ディレクトリ内に datasources.yaml を作成し、取得したAPIキーを記述します。

   # ~/.config/amass/datasources.yaml の例
   datasources: - name: VirusTotal creds: account: apikey: <YOUR_VIRUSTOTAL_API_KEY> - name: SecurityTrails creds: account: apikey: <YOUR_SECURITYTRAILS_API_KEY> - name: Shodan creds: account: apikey: <YOUR_SHODAN_API_KEY> # 他のデータソースも同様に追加
   global_options: minimum_ttl: 1440 # 例: グローバルオプション

5. config.yaml の作成とリンク: 設定ディレクトリ内に config.yaml を作成し、datasources.yaml のパスを指定します。他の設定もここで行えます。

   # ~/.config/amass/config.yaml の例
   options: datasources: /home/user/.config/amass/datasources.yaml # datasources.yamlへの絶対パスまたは相対パス
   # resolvers: # カスタムリゾルバの設定例
   # - 8.8.8.8
   # - 1.1.1.1
   # scope: # スコープ設定の例
   # domains:
   # - example.com
   # - example.org
   mode: passive # デフォルトモードをパッシブに設定する例

6. Amassの実行: 設定ファイルがデフォルトの場所にあり、config.yaml 内で datasources.yaml が正しく参照されていれば、特別なフラグなしでAmassを実行すると設定が読み込まれます。別の場所にある場合は -config フラグを使用します。

   amass enum -d example.com # デフォルト設定を使用
   amass enum -config /path/to/my_config.yaml -d example.com # カスタム設定を使用

公式のGitHubリポジトリには、設定ファイルの完全なサンプルと詳細な説明があります。多くのAPIキーを設定することで、Amassの発見能力は格段に向上します。

注意: 以前のバージョン(v3)では config.ini 形式が使用されていましたが、v4以降はYAML形式に変更されています。

Amassはその強力な機能セットにより、様々なセキュリティ関連のタスクで活用できます。

• ペネトレーションテストの偵察フェーズ:
  • テスト対象のWebアプリケーションやインフラの攻撃対象領域を包括的にマッピングします。
  • enum（特にアクティブモード）を使用して、隠れたサブドメインや関連インフラ（IPアドレス、利用ポートなど）を発見します。
  • intel を使用して、組織が所有する可能性のある他のルートドメインやASNを特定します。
  • これにより、忘れられた、あるいは監視されていないアセットを発見し、潜在的な攻撃ベクトルを特定できます。ターゲットのフットプリントを明確にすることで、セキュリティの死角を明らかにすることができます。
• バグバウンティハンティング:
  • スコープ内のドメインに対して enum を実行し、新しい、またはあまり知られていないサブドメインを発見します。これらは脆弱性が見つかる可能性が高いターゲットとなることがあります。
  • track を使用して、定期的にスコープをスキャンし、新しく追加されたサブドメインを迅速に特定します。新しい機能はバグを含んでいる可能性が高いため、早期に発見することが重要です。
  • APIキーを最大限に活用し、他のハンターが見逃している可能性のあるアセットを発見します。
• アタックサーフェス管理 (ASM):
  • 大規模な組織が自社の外部に公開されているアセットを継続的に監視するために使用します。
  • 定期的に enum と track を実行し、新しいサブドメインやインフラの変更（例: 新しいIPアドレス、削除されたサブドメイン）を検出します。
  • 発見されたアセットをインベントリ管理システムと連携させ、シャドーITや管理外のアセットを発見します。
  • viz を使用して、組織全体のネットワーク構造を視覚的に把握し、レポートを作成します。
• 脅威インテリジェンス:
  • intel を使用して、特定の組織や脅威アクターに関連するドメインやインフラを調査します。
  • 収集したデータを他の脅威インテリジェンスプラットフォームと組み合わせ、より広範な分析を行います。

Amassは、他のツール（例: Subfinder, HTTPX, Nuclei）と組み合わせることで、さらに強力なワークフローを構築できます。例えば、Amassで発見したサブドメインリストをHTTPXに渡して稼働中のWebサーバーを特定し、さらにNucleiで脆弱性スキャンを実行するといった連携が可能です。

Amassは非常に強力な情報収集ツールですが、その使用には責任が伴います。以下の点に留意してください。

• 許可の取得: 特に -active フラグやブルートフォースを使用する場合、対象システムの所有者から明示的な許可を得ずにスキャンを実行することは、多くの国や地域で違法または利用規約違反となる可能性があります。ペネトレーションテストやバグバウンティプログラムの範囲とルールを常に確認し、遵守してください。許可なく他者のシステムを調査することは絶対に避けてください。
• パッシブ vs アクティブ: -passive モードは、一般的にターゲットシステムに直接的な負荷をかけず、公開情報のみを利用するため、リスクが低いです。しかし、それでも利用するデータソース（APIを提供するサービスなど）の利用規約に従う必要があります。アクティブモードはターゲットに直接接続するため、より慎重な判断と明確な許可が必要です。
• 影響の考慮: 大規模なスキャン、特にアクティブモードや高頻度のブルートフォースは、ターゲットのネットワークやサーバーに負荷をかける可能性があります。スキャンの頻度や強度（リクエストレートなど、設定ファイルで調整可能）を適切に設定し、サービス停止などを引き起こさないように注意してください。
• データの取り扱い: Amassによって収集される情報には、公開されているとはいえ、組織のインフラに関する詳細が含まれます。収集したデータの保管、共有、利用に関しては、プライバシーとセキュリティに配慮し、関連する法律や規制（GDPRなど）を遵守する必要があります。
• ツールの目的: Amassは、セキュリティ評価や防御目的での攻撃対象領域の理解を深めるために開発されました。悪意のある目的での使用は絶対にしないでください。

ツールを使用する前に、自身の行動が法的に許容され、倫理的に問題がないことを常に確認してください。不明な点がある場合は、専門家や所属組織の法務部門に相談することをお勧めします。