Rishi Security Research
Posts Article Labs
投稿に戻る
研究アーカイブ
Dec 1, 2025

DNS OSINTテクニックによるSalesloft Driftの検出

セキュリティ研究者としての私の仕事の多くは、インターネット上で公開されている製品やサービスを見つけることです。いずれの場合も、HTTPレスポンスボディとヘッダーを調べ、特定のキーワードを探すことで行っていました。しかし、これらの製品を検出する別の方法があるのではないかと考えました。

dnsosintnucleidriftamasssalesloft

概要

セキュリティリサーチャーとしての私の仕事の多くは、インターネット上に露出している製品やサービスを発見することです。これまでは、HTTPレスポンスボディとヘッダーを調べて特定のキーワードを探すという方法で行ってきました。しかし、これらの製品を検出する別の方法があるのではないかと考えました。そこで私の調査はDNSへと広がっていきました。

このブログでは、DNSのTXTレコードを受動的に検出することで、製品やサービスをマッピングする方法を解説します。これらのレコードを調べることで、ターゲットを直接探索することなく、組織のインフラで使用されている技術を特定できます。また、最近の実際のケースであるSalesloftのサプライチェーン侵害についても取り上げ、こうした検出手法が単なる理論を超えて重要である理由を説明します。

検出面としてのDNS TXTレコード

TXTレコードはアタックサーフェス管理において見落とされがちですが、インテリジェンスの宝庫です。組織はドメイン検証、メール認証(SPF、DKIM、DMARC)、サードパーティサービスとの統合などに日常的にTXTレコードを使用しています。これらのレコードはそれぞれ、組織がどのサービスに依存しているかを明らかにするパンくずのようなものです。

特に有用で一般的なパターンのひとつが google-site-verification= の構文です。ドメインのTXTレコードにこれが存在する場合、その組織がGoogle Workspaceを統合していることを示しています。検出の観点からこれが価値あるのは以下の理由からです:

侵入的なスキャンは不要で、受動的なDNSルックアップだけで済みます。

パブリックDNSサーバーに問い合わせているだけなので、ターゲットホストはあなたがインフラを調査したことを決して知りません。

ベンダーやサービスの使用状況に直接対応しています。

これらのベンダーが侵害を受けた際に潜在的な露出の早期指標を提供します。

独自スキャンの実行

オープンソースのツールやフレームワーク — Nuclei と Amass — を使用することで、Salesloft Driftの露出を今日すぐ検出できます。これらのツールを使えば、任意のドメインに対して簡単なDNSチェックを実施できます。drift-domain-verification という文字列が見つかれば、そのターゲットがインフラでDriftを使用していることを示します。以下のコマンドの実行方法を説明します:

Amass

alt text

列挙プロセスが完了したら、assoc サブコマンドを使用してOpen Asset Model(OAM)からデータを抽出する必要があります:

alt text

日付とドメインは適宜調整してください。

このコマンドを実行すると、関連する組織の一覧が次のように表示されます:

alt text

Nuclei

alt text

google.com をスキャンしたいドメインに置き換えてください。出力は次のように表示されます:

alt text

なぜ気にする必要があるのか?

サプライチェーンの侵害は信頼を悪用するため、特に危険です。従来の検出戦略はこうした状況で攻撃者の活動に後れを取りがちです。TXTレコードの分析は、早期警戒システムを構築するための軽量でスケーラブルな手法を提供します。この技術は、DNSデータから製品・サービスの露出マップを構築するものです。どのドメインがどのベンダーに依存しているかをカタログ化することで、防御側はサプライチェーンへのアタックサーフェスの広がりを明確に把握できます。

Salesloftのような侵害が発生したとき、このマップが即座の対応と盲目的な露出の差を生み出します。この技術の主な利点は、企業がドメインを検証するためにTXTレコードを持たなければならないという点にあります。持っていなければ、サードパーティサービスは切断されるかオフラインになります。

Salesloft Drift:実世界のコンテキスト

DEFCON33での講演の直後、Salesloftのサプライチェーン侵害が発生しました。これは、このアプローチが単なる研究上の演習ではない理由を明確に示しています。攻撃者はDrift統合を悪用して組織へのアクセスを取得し、従来の境界セキュリティコントロールを効果的に回避しました。

組織が依存しているサードパーティ — 特にTXTレコードを通じたSalesloft Drift — を迅速に特定できれば、以下のことが可能になります:

脅威ハンティングの優先順位付け: Driftが影響を受けたと分かれば、環境のどこで不審な動作を探すべきかを即座に絞り込むことができます。

サードパーティ露出のリスク評価: 多くの組織がサプライチェーン攻撃の影響を受ける可能性があります。レッド/ブルーチーマーとして、これらのサードパーティサービスへの露出を容易にマッピングできます。

インシデント対応速度の向上: ベンダーの開示やメディア報道を待つのではなく、サービスの使用状況を事前に検出できます。

まとめ

Salesloftのインシデントは、今日の脅威環境において、自組織のセキュリティは最も弱いベンダーの強さに依存することを改めて示しています。TXTレコードの検出は万能の解決策ではありませんが、依存関係を明らかにする非常に効果的な方法のひとつです。

攻撃者が信頼関係を悪用し続ける中、防御側はリスクを理解するための簡単でスケーラブルな手段を必要としています。TXTレコードはそのひとつです — 見落とされがちな検出手法でありながら、実世界に大きな影響をもたらします。