jpskill.com
🛠️ 開発・MCP コミュニティ

subfinder

指定されたドメインのサブドメインを、公開されている情報や検索エンジンなどを用いて効率的に探し出し、セキュリティリスクの調査範囲を広げたり、隠れたサービスを見つけたりするのに役立つSkill。

📜 元の英語説明(参考)

Discover subdomains of a target domain using passive and active enumeration techniques. Use when tasks involve subdomain enumeration, attack surface mapping, DNS reconnaissance, finding hidden services, identifying forgotten subdomains, or expanding the scope of a security assessment. Subfinder uses passive sources (certificate transparency logs, DNS datasets, search engines) to find subdomains without touching the target directly.

🇯🇵 日本人クリエイター向け解説

一言でいうと

指定されたドメインのサブドメインを、公開されている情報や検索エンジンなどを用いて効率的に探し出し、セキュリティリスクの調査範囲を広げたり、隠れたサービスを見つけたりするのに役立つSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o subfinder.zip https://jpskill.com/download/15430.zip && unzip -o subfinder.zip && rm subfinder.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/15430.zip -OutFile "$d\subfinder.zip"; Expand-Archive "$d\subfinder.zip" -DestinationPath $d -Force; ri "$d\subfinder.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して subfinder.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → subfinder フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-18
取得日時
2026-05-18
同梱ファイル
1

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

Subfinder

概要

パッシブなソースを使用して、ターゲットドメインのサブドメインを発見します。Subfinder は、証明書トランスペアレンシーログ、DNS データセット、検索エンジン、およびその他の OSINT ソースにクエリを実行して、ターゲットインフラストラクチャに直接触れることなくサブドメインを列挙します。

手順

インストール

# Go install (Go 1.21+ が必要)
go install -v github.com/projectdiscovery/subfinder/v2/cmd/subfinder@latest

# またはバイナリをダウンロード
# https://github.com/projectdiscovery/subfinder/releases

# または Docker
docker pull projectdiscovery/subfinder:latest

基本的な使い方

# 単一のドメインのサブドメインを列挙
subfinder -d example.com

# 複数のドメイン
subfinder -d example.com,example.org

# ドメインのファイルから
subfinder -dL domains.txt

# ファイルに出力
subfinder -d example.com -o subdomains.txt

# JSON 出力 (ソース情報を含む)
subfinder -d example.com -oJ -o subdomains.json

設定

より良い結果を得るための API キー

Subfinder は API キーなしでも動作しますが、API キーを使用すると、より多くの結果を返します。~/.config/subfinder/provider-config.yaml で設定します。

# ~/.config/subfinder/provider-config.yaml
# パッシブソースの API キーを追加して、結果を大幅に向上させます

binaryedge:
  - your-binaryedge-api-key          # https://app.binaryedge.io

censys:
  - your-censys-api-id:api-secret    # https://search.censys.io/account/api

chaos:
  - your-chaos-api-key               # https://chaos.projectdiscovery.io

github:
  - your-github-token                # Personal access token (public repos scope)

shodan:
  - your-shodan-api-key              # https://account.shodan.io

securitytrails:
  - your-securitytrails-key          # https://securitytrails.com/app/account

virustotal:
  - your-virustotal-api-key          # https://www.virustotal.com/gui/my-apikey

# キーを必要としない無料のソース:
# Certificate Transparency (crtsh), DNSdumpster, HackerTarget,
# Wayback Machine, AlienVault OTX, RapidDNS

ソースの選択

# すべてのソースを使用 (デフォルト)
subfinder -d example.com -all

# 特定のソースのみを使用
subfinder -d example.com -s crtsh,dnsdumpster,hackertarget

# ノイズの多いソースを除外
subfinder -d example.com -es github

# 利用可能なソースをリスト表示
subfinder -ls

高度な使い方

再帰的な列挙

サブドメインのサブドメイン (例: dev.api.example.com) を見つけます。

# 再帰モードを有効にする — より深いサブドメインを見つける
subfinder -d example.com -recursive

# 再帰の深さを制限
subfinder -d example.com -recursive -max-depth 3

フィルタリングと処理

# 特定のソースからの結果のみを表示
subfinder -d example.com -cs  # 各サブドメインのソースを表示

# 検証のために他のツールにパイプ
subfinder -d example.com -silent | httpx -silent  # ライブであるか確認
subfinder -d example.com -silent | dnsx -silent    # DNS を解決
subfinder -d example.com -silent | naabu -silent   # ポートスキャン

# レート制限 (API 制限を尊重)
subfinder -d example.com -rate-limit 5  # 最大 5 リクエスト/秒
subfinder -d example.com -t 10          # 10 並行スレッド

他の偵察ツールとの統合

# 完全な偵察パイプライン:
# 1. サブドメインを見つける
subfinder -d target.com -o subs.txt

# 2. ライブであるか確認 (httpx)
cat subs.txt | httpx -silent -status-code -title -o live.txt

# 3. ライブホストのスクリーンショット (gowitness)
cat live.txt | gowitness file -f -

# 4. 発見されたホストのポートスキャン (naabu)
cat subs.txt | naabu -silent -top-ports 1000 -o ports.txt

# 5. 脆弱性スキャンを実行 (nuclei)
cat live.txt | nuclei -t cves/ -severity critical,high -o vulns.txt

パッシブ列挙とアクティブ列挙

Subfinder はデフォルトでパッシブです — サードパーティのデータソースにクエリを実行し、ターゲットにはクエリを実行しません。

パッシブ (subfinder のデフォルト) — 安全、ステルス
├── 証明書トランスペアレンシーログ (crt.sh, Google CT)
├── DNS アグリゲーション (SecurityTrails, DNSdumpster)
├── 検索エンジン (Google, Bing dorking)
├── 脅威インテリジェンス (Shodan, Censys, BinaryEdge)
└── インターネットアーカイブ (Wayback Machine)

アクティブ (追加のツールを使用) — ターゲットに触れる
├── DNS ブルートフォース (shuffledns, puredns)
├── DNS ゾーン転送 (dig axfr)
├── 仮想ホストの発見 (ffuf -H "Host: FUZZ.target.com")
└── TLS/SSL 証明書の検査 (直接接続)

承認されたペンテストの場合は、両方を組み合わせます。パッシブな発見には subfinder を使用し、パッシブソースが見逃したものをアクティブなブルートフォースで補完します。

結果の解釈

一般的なサブドメインのパターンとその意味:

admin.example.com        → 管理パネル (価値の高いターゲット)
staging.example.com      → ステージング環境 (多くの場合、セキュリティが低い)
dev.example.com          → 開発サーバー (デバッグが有効になっている可能性がある)
api.example.com          → API エンドポイント (認証バイパスをテスト)
old.example.com          → レガシーアプリケーション (パッチが適用されていない可能性が高い)
vpn.example.com          → VPN ゲートウェイ (クレデンシャル攻撃)
mail.example.com         → メールサーバー (フィッシングのターゲット)
jenkins.example.com      → CI/CD (コード実行の可能性)
grafana.example.com      → モニタリング (情報漏洩)
*.s3.amazonaws.com       → S3 バケット (パブリックアクセスを確認)

ターゲットの優先順位付け: 管理パネル、ステージング環境、およびレガシーホストは、多くの場合、本番環境よりもセキュリティが低いため、最も価値の高い発見です。

ターゲットドメインの攻撃対象領域をマッピングする

subfinder を使用して、ドメイン example.com でサブドメイン列挙を実行します。すべてのサブドメインを見つけ、httpx でライブであるものを確認し、whatweb で Web テクノロジーを特定し、優先順位付けされたターゲットリストを作成します。ステージング、開発、または管理サブドメインを優先度の高いものとしてフラグを立てます。各サブドメインのソースを含めて、このターゲットに最も価値のあるパッシブソースを把握できるようにします。

忘れられたサブドメインまたはシャドウ IT サブドメインを見つける

当社には 5 つの登録済みドメインがあります。それらすべてのサブドメインを列挙し、既知のアセットインベントリ (提供されたリスト) と相互参照して、認識できないサブドメイン (潜在的なシャドウ IT または

(原文がここで切り詰められています)
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Subfinder

Overview

Discover subdomains of a target domain using passive sources. Subfinder queries certificate transparency logs, DNS datasets, search engines, and other OSINT sources to enumerate subdomains without directly touching the target infrastructure.

Instructions

Installation

# Go install (requires Go 1.21+)
go install -v github.com/projectdiscovery/subfinder/v2/cmd/subfinder@latest

# Or download binary
# https://github.com/projectdiscovery/subfinder/releases

# Or Docker
docker pull projectdiscovery/subfinder:latest

Basic Usage

# Enumerate subdomains for a single domain
subfinder -d example.com

# Multiple domains
subfinder -d example.com,example.org

# From a file of domains
subfinder -dL domains.txt

# Output to file
subfinder -d example.com -o subdomains.txt

# JSON output (includes source information)
subfinder -d example.com -oJ -o subdomains.json

Configuration

API keys for better results

Subfinder works without API keys but returns significantly more results with them. Configure in ~/.config/subfinder/provider-config.yaml:

# ~/.config/subfinder/provider-config.yaml
# Add API keys for passive sources to dramatically increase results

binaryedge:
  - your-binaryedge-api-key          # https://app.binaryedge.io

censys:
  - your-censys-api-id:api-secret    # https://search.censys.io/account/api

chaos:
  - your-chaos-api-key               # https://chaos.projectdiscovery.io

github:
  - your-github-token                # Personal access token (public repos scope)

shodan:
  - your-shodan-api-key              # https://account.shodan.io

securitytrails:
  - your-securitytrails-key          # https://securitytrails.com/app/account

virustotal:
  - your-virustotal-api-key          # https://www.virustotal.com/gui/my-apikey

# Free sources that don't need keys:
# Certificate Transparency (crtsh), DNSdumpster, HackerTarget,
# Wayback Machine, AlienVault OTX, RapidDNS

Source selection

# Use all sources (default)
subfinder -d example.com -all

# Use only specific sources
subfinder -d example.com -s crtsh,dnsdumpster,hackertarget

# Exclude noisy sources
subfinder -d example.com -es github

# List available sources
subfinder -ls

Advanced Usage

Recursive enumeration

Find subdomains of subdomains (e.g., dev.api.example.com):

# Enable recursive mode — finds deeper subdomains
subfinder -d example.com -recursive

# Limit recursion depth
subfinder -d example.com -recursive -max-depth 3

Filtering and processing

# Show only results from specific sources
subfinder -d example.com -cs  # Show source for each subdomain

# Pipe to other tools for validation
subfinder -d example.com -silent | httpx -silent  # Check which are live
subfinder -d example.com -silent | dnsx -silent    # Resolve DNS
subfinder -d example.com -silent | naabu -silent   # Port scan

# Rate limiting (respect API limits)
subfinder -d example.com -rate-limit 5  # 5 requests/second max
subfinder -d example.com -t 10          # 10 concurrent threads

Integration with other recon tools

# Full recon pipeline:
# 1. Find subdomains
subfinder -d target.com -o subs.txt

# 2. Check which are live (httpx)
cat subs.txt | httpx -silent -status-code -title -o live.txt

# 3. Screenshot live hosts (gowitness)
cat live.txt | gowitness file -f -

# 4. Port scan discovered hosts (naabu)
cat subs.txt | naabu -silent -top-ports 1000 -o ports.txt

# 5. Run vulnerability scan (nuclei)
cat live.txt | nuclei -t cves/ -severity critical,high -o vulns.txt

Passive vs Active Enumeration

Subfinder is passive by default — it queries third-party data sources, NOT the target:

PASSIVE (subfinder default) — safe, stealthy
├── Certificate Transparency logs (crt.sh, Google CT)
├── DNS aggregation (SecurityTrails, DNSdumpster)
├── Search engines (Google, Bing dorking)
├── Threat intelligence (Shodan, Censys, BinaryEdge)
└── Internet archives (Wayback Machine)

ACTIVE (use additional tools) — touches the target
├── DNS brute-forcing (shuffledns, puredns)
├── DNS zone transfers (dig axfr)
├── Virtual host discovery (ffuf -H "Host: FUZZ.target.com")
└── TLS/SSL cert inspection (direct connection)

For authorized pentests, combine both: subfinder for passive discovery, then active brute-forcing for what passive sources missed.

Interpreting Results

Common subdomain patterns and what they reveal:

admin.example.com        → Admin panel (high-value target)
staging.example.com      → Staging environment (often less secured)
dev.example.com          → Development server (may have debug enabled)
api.example.com          → API endpoint (test for auth bypass)
old.example.com          → Legacy application (likely unpatched)
vpn.example.com          → VPN gateway (credential attacks)
mail.example.com         → Mail server (phishing target)
jenkins.example.com      → CI/CD (code execution potential)
grafana.example.com      → Monitoring (information disclosure)
*.s3.amazonaws.com       → S3 buckets (check for public access)

Prioritize targets: admin panels, staging environments, and legacy hosts are the highest-value findings because they're often less secured than production.

Examples

Map the attack surface of a target domain

Run subdomain enumeration on our domain example.com using subfinder. Find all subdomains, check which ones are live with httpx, identify the web technologies with whatweb, and produce a prioritized target list. Flag any staging, development, or admin subdomains as high-priority. Include the source for each subdomain so we know which passive sources are most valuable for this target.

Find forgotten or shadow IT subdomains

Our company has 5 registered domains. Enumerate all subdomains across all of them, cross-reference with our known asset inventory (list provided), and identify any subdomains we don't recognize — potential shadow IT or forgotten services. For each unknown subdomain, check if it's live, what it's running, and whether it has a valid TLS certificate.

Set up continuous subdomain monitoring

Build a subdomain monitoring pipeline that runs weekly on our 3 primary domains. It should compare results against the previous week's baseline, alert on new subdomains (potential new attack surface or subdomain takeover), and generate a diff report. Store historical data for trend analysis. Use subfinder for enumeration and httpx for liveness checks.

Guidelines

  • Only run against domains you have explicit written authorization to test
  • Passive enumeration (subfinder default) does not touch the target, but active tools like httpx and naabu do — ensure they are in scope
  • Configure API keys for better coverage — free sources alone miss many subdomains
  • Use rate limiting (-rate-limit) to avoid overwhelming third-party data sources
  • Validate findings before reporting — some passive sources return stale or incorrect data
  • Combine with active DNS brute-forcing (puredns, shuffledns) for comprehensive coverage on authorized engagements