OSINT(オープンソース・インテリジェンス)とは? その活用法を解説

この記事をシェア

誰でも利用できるOSINTは、良いことにも悪いことにも使われる。情報セキュリティ担当者が攻撃者に先行的に対処していけるような、OSINTの活用方法について解説する。

この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

OSINT(オープンソース・インテリジェンス)とは? その活用法を解説

サイバーセキュリティ業界は、さまざまな技術であふれている。最新のエクスプロイトキットやハッキングツール、脅威を見つけ出すためのソフトウェアなどだ。しかし、実際にそれらの技術を扱うのは人である。マルウェアを開発する人、サイバー攻撃を仕掛ける人、また反対に攻撃からの防御に責任を負う人もいる。OSINT、つまりオープンソース・インテリジェンスは、サイバーセキュリティにおいて重要な要素ではあるが、見過ごされがちな「人」について知るためのものだ。

つまり、あなたの組織についての情報がオンラインで見つけられるように、悪意のある攻撃者の情報も見つけることができるということ。これだけでも、サイバー攻撃のリスクを軽減するためにOSINTを活用する必要性を理解できるだろう。

どのようにOSINTを使うか?

OSINTという用語は、もともとサイバーセキュリティとは異なる業界で使われ始めた。国家安全保障に関して、戦略的に重要でありながら公開されている情報を収集する軍事・諜報活動がそれである。戦後の諜報活動は、HUMINT(Human intelligence)やSIGINT(Signal Intelligence)といった手法がメインだったが、1980年代からOSINTが用いられるようになってきた。Webサイト、ソーシャルメディア、デジタルサービスの登場によって、企業のITインフラや従業員に関して、OSINTを介し膨大な情報を収集できるようになったのだ。

CISO(情報セキュリティ最高責任者)にとって、組織のセキュリティ・リスクを発見することは最も重要であり、攻撃者によりそれらが悪用される前に対策を打つ必要がある。そのための有効な手法として、定期的なペネトレーションテストやレッドチーム演習の実施、そしてITインフラの弱点を発見するのにOSINTが活用できるのだ。

ここでは、OSINTが情報セキュリティ担当者と攻撃者の双方から、どのように利用されるかを解説する。

セキュリティチームがOSINTを利用する方法

ペネトレーションテストの担当者やセキュリティチームはOSINTを用いて、社内の資産に関する情報や、社外にある公開情報を調査する。組織によっては、意図せず公開されたメタデータに機密情報が含まれている場合もある。ITシステムのセキュリティに関する有用な情報には次のようなものがある。

  • 外部に開かれたポートと、通信が保護されずに接続されているデバイス
  • 最新のパッチが適用されていないソフトウェア
  • ソフトウェア・バージョン、デバイス名、ネットワークおよびIPアドレスといったIT資産の情報
  • PastebinやGitHubといったコードホスティングサービス上に漏えいした情報

社外に目を向けると、各種Webサイト、特にソーシャルメディアにおいては従業員に関する情報が数多く公開されがちだ。また、サプライヤーやパートナー企業も、非公開にしておくのが望ましいIT環境の詳細を、必要以上に公開してしまっている場合もある。さらに、検索エンジンにインデックスされていないWebサイトやファイルであるディープウェブも急速に拡大している。これらも厳密には公開情報となるので、OSINTの対象と考えられる。

攻撃者がOSINTを悪用する方法

OSINTにはまったく逆の側面もある。情報が公開されていれば、悪意のある攻撃者も含め、誰もが情報にアクセスできるからだ。

以下に代表的な例を示す。

  • 従業員の個人情報や業務上の情報についてソーシャルメディアで検索する。例えば、管理者権限を持っているような人を特定し、スピアフィッシング(標的型フィッシング攻撃)の対象を選択するために使われる。LinkedInは、このようなOSINT活動の情報源となり得る。ただし、他のソーシャルメディアも、誕生日、あるいは子供やペットの名前に関する手掛かりを与える場合があり、パスワードを類推するのに悪用される。
  • クラウドコンピューティングの性能向上により、パッチが適用されていないIT資産や公開されたポート、適切に設定されていないクラウド上のデータを解析するのは、比較的安価で容易にできるようになった。標的のログイン情報や漏えいした情報を見つけるため、攻撃者はGitHubのようなWebサイトを検索する。パスワードや暗号化キーがコードに含まれる場合があり、過去にはGitHubを介してUber社で情報漏えいが発生する事案があった。

OSINTは合法なのか?

OSINTの利用は公開されている情報を見つけることが目的なため、少なくとも欧米のほとんどの国では間違いなく合法だ。データがパスワードで保護されていたり、何らかの方法で非公開になっていた場合、OSINTチームは慎重になる必要がある。また、ソーシャルメディアからデータを自動的に抽出する手法は、多くの企業で利用規約に反する。そのため、ペネトレーションテストのチームは通常、クライアントとの共同作業を開始する前に、何が許され、何が許されないのかを定義する場合が多い。

よく使われているOSINTツール

CISOがサイバーセキュリティに関するリスク管理の一環としてOSINTの活用を考えるなら、まずは明確な戦略を立てることが重要だ。ネットワークの弱点やソフトウェアの脆弱性を発見するためのプロジェクトなのか、ソーシャルメディア上で従業員が必要以上に情報を公開していないかを確認するためのプロジェクトのかなど、一連の取り組みから何を得たいのかを明確にすることだ。その上で、データの収集や分析のためのツールや手法を選定する。大量のデータを扱うことになるため、高度な自動化が必要になってくるだろう。

一般的なツールには以下のようなものがある。

ShodanIoT(Internet of Things)デバイス、OT(Operational Technology)システム、公開されたポート、バグを検索する方法としてよく用いられているツール。

Maltego:人、ドメイン、企業、文書の所有者、その他の組織の関連性を調査するツール。直感的なユーザーインターフェイスによって可視化できる。

Metagoofil:公開されたファイルからメタデータを抽出し、ディレクトリ構造やサーバー名といったIT資産の情報をユーザーに提供する。

Google Dorking:これ自体はツールではないが、特定の情報を見つけるために検索エンジンを高度に活用する手法を指す。特定のクエリを作成することで、管理者が非公開と考えているサーバーやWebページなどの情報にアクセスできる。Googleハッキングとも呼ばれる。

OSINT FrameworkOSINT.Linkにも言及しなければならない。この2つの巨大な情報源は、公開された情報を収集するのに活用できる。

最後に、どのような方法を選択するにしても、OSINTはサイバーセキュリティにおいて、ますます重要な役割を担うことになるだろう。戦略的に活用できれば、リスク管理に関する取り組みを一段高いレベルに引き上げてくれるだろう。

この記事をシェア

サイバー攻撃対策に

サイバーセキュリティ
情報局の最新情報を
チェック!