Maltego 社の許可をいただき、Maltego ブログを弊社ブログで紹介させていただいております。
この投稿では、Maltegoグラフ、Transforms、Entities(エンティティ)について紹介します。新しいグラフを作成し、グラフにEntities(エンティティ)を追加し、それらのEntitiesにTransformsを実行して新しいEntitiesを取得したり、グラフから別のグラフにEntitiesをコピーしたりする方法を紹介します。
すでにMaltegoを使って最初のグラフを作成したことがある方は、次の初心者ガイドの記事でレベル1のネットワークフットプリント調査について読み進めてください。
初めてのMaltegoグラフの作成
左上隅のMaltegoボタンをクリックし、メインメニューからNew(新規)を選択して、最初のMaltegoグラフを作成しましょう。これで、作業用の新しいグラフが作成されます。
Maltegoで最初のEntityを作成
このガイドでは、ドメインgnu[.]orgで識別されるGNU組織を例に使用します。
グラフにこのドメインのEntityを追加するには、まず、ウィンドウの左側にあるEntity Palette(エンティティ・パレット)でDomain Entityを検索し、新しいEntityをグラフにドラッグします。
デフォルトでは、Entitiesはデフォルト値を持っています。この場合、Domain Entityのデフォルト値はpaterva.comです。これは、Entityの値をダブルクリックするか(またはDomain Entityを選択した状態でF2キーを押すことで)、値をgnu[.]orgに変更できます。
Maltego Transformsの実行
Transformsとは?
Transformsは、入力としてEntityを受け取り、出力として新しいEntityを作成する関数です。出力されたEntityは、入力されたEntityにリンクされます。これがMaltegoでグラフが拡大する仕組みです。これは調査の方法に例えることができます。ある情報から出発して、そこから新しい情報を導き出していくという方法です。
各Transformは、特定の種類のEntityを入力として受け付けます。Entityを選択した状態でグラフの任意の場所で右クリックすると、そのEntityを入力として受け付けるTransformのリストを見ることができます。
実行したいTransformをコンテキストメニューで選択することで、Transformを実行することができます。
実行したいTransformがわかっている場合は、Run Transformメニューの検索ボックスで検索することができます。
メニューオプションにある+に注目してください。これはTransform Setを示しており、関連するTransformがまとめられています。Transform Setをクリックすると、そのセットに含まれるTransformが表示されます。戻るには、以下のように戻る矢印を選択するか、またはTransformメニューの任意の場所で右クリックします。
To Email Address [From whois info] Transformを実行して、ドメインからメールアドレスを検索
この例では、ドメインgnu.orgの所有者の連絡先を検索します。”Domain owner detail”セットを展開し、”To Email address [From whois info]” Transformを選択します。
このTransformは、gnu.org ドメインの「whois」レコードをフェッチし、ドメインの管理者メールアドレスを抽出します。Transform からの結果は、Domain Entity のchild Entitiesとして追加されます。
また、”To Phone numbers [From whois info]” Transformを実行することで、whoisデータに存在する電話番号を抽出することもできます。
ドメイン下のDNSホスト名を見つけるために、To DNS Name [Robtex] Transformを実行
gnu.org下に存在するDNSホスト名の一部を見つけるために、gnu.org Domain Entityに対してTransform「To DNS Name [Robtex]」を実行します。このTransformは、検索ボックスに「dns」と入力して検索できます。
Transform「To DNS Name [Robtex]」は、gnu.orgドメイン下の任意のDNS名レコードに関する過去のDNSデータを含むRobtexデータベースに問い合わせます。
このグラフには、gnu.orgドメインの管理者連絡先とホスト名が含まれています。
ホスト名のIPアドレスを調べるために、To IP Address Transformを実行
次に、これらのホスト名のIPアドレスを調べることができます。これは、すべてのDNS名Entityを選択してTransform「To IP address」を実行することで行うことができます。複数のEntityは、マウス選択でドラッグすることで選択できます。選択ボックスの下にあるEntityを選択するには、マウスをクリックしてドラッグします。
このTransformは、DNSに問い合わせて、これらのDNS名のIPアドレスを返します。
Maltegoグラフの保存を忘れずに!
注:調査が進むにつれて、定期的にグラフを保存する習慣をつけましょう。これは、メインメニューでSave As(名前を付けて保存)を選択することで行うことができます。
調査では、機密性の高いデータが明らかになったり含まれたりすることが多いため、Maltegoでは保存されたMaltegoグラフを暗号化するオプションが提供されています。グラフを暗号化するには、「暗号化」オプションを選択し、暗号化用のパスワードを入力します。
保存したグラフは、パスワードを入力することで再度開くことができます。
Maltegoでレベル1ネットワークフットプリントにトライ
このブログでは、Maltegoでグラフを作成する方法、データがEntityとしてどのように表現されるか、Transformを実行してグラフにさらにEntityを生成する方法を説明しました。
MaltegoのTransformの一部について詳しく見るには、次のブログ記事「Maltego入門ガイド:基本的な(レベル1)フットプリントのマッピング - パート1」 をご覧ください。