OSINTとは? 活用方法、ツール、注意すべき点 | codebook - セキュリティ情報専門News - by MachinaRecord

セキュリティ/サイバーインテリジェンス最新トレンドをご紹介

codebook - セキュリティ情報専門News - by MachinaRecord > Articles > Analyst's Choice > OSINTとは? 活用方法、ツール、注意すべき点

OSINTとは? 活用方法、ツール、注意すべき点

OSINTとは? 活用方法、ツール、注意すべき点

 

OSINT(オープンソース・インテリジェンス)という言葉を

サイバーセキュリティに携わっていて耳にしたことがある方も多いかと思います。

 

この記事では、サイバーセキュリティ保護のために活用されるOSINTについて、

なるべく簡単にご説明します。

  

✔️ OSINTはどんな場面で使えるか

✔️ よく使用されるツール

✔️ OSINTのメリット・デメリット

 

についても紹介していきます。

 

目次

OSINTとは?

OSINTの活用方法、主なツール
– 攻撃されそうな組織の情報資産を特定するため
– 脅威情報を収集するため
– その他:風評リスク、不正行為などの検知

OSINTで注意すべきこと

OSINTツールを「使いこなす」ためには?

 

OSINTとは?

OSINT(オシント)とは、

オープンソース・インテリジェンス(Open Source Intelligence)の略語です。

 

インテリジェンスとは?

「インテリジェンス」という英語は、Artificial Intelligence(AI)の場合のように「知能」と訳されることもありますが、「諜報活動」や「(諜報活動で得られる)情報」とも訳されます。

 

OSINTの「インテリジェンス」は、「諜報」「情報」という意味で使われています。

 

しかし、インテリジェンスは単なる「情報」ではありません

米国の国立標準技術研究所(NIST)は、「インテリジェンス」を

 

国外の国・地域について入手できる情報を収集、加工、統合、分析、評価、解釈した事による成果物

 

と説明しています(*1)。

 

つまり、

ただ収集しただけの情報」はインテリジェンスとは言えず、

収集した情報を加工し、「成果物」にして初めてインテリジェンスとなるのです。

 

オープンソースとは?

「オープンソース」とは、「誰でも自由に利用できる情報(源)」と言う意味です。

たとえば、以下のようなものです。

 

印刷物、電子情報(ラジオ、テレビ放送、新聞、雑誌、インターネット、商用データベース、動画・図画など)の形で、誰もが入手できる情報

 

参考:米国家情報長官室(ODNI),  WHAT IS INTELLIGENCE? (*2)

 

なので、OSINTとは次のように定義できます。

 

誰でも自由に利用できる情報を、収集、加工、統合、分析、評価、解釈した事による成果物

 

OSINTの活用方法、主なツール

OSINTの活用法はさまざまですが、主に以下のようなものが挙げられます。

 

1. 攻撃されそうな情報資産を特定するため

サイバーセキュリティ業務では、公開状態の情報資産を見つけ、どれが攻撃の標的になりそうかを知って対策に役立てるために、OSINTが使用されます。

 

公開状態とは、「わざわざハッキングしなくてもインターネット上で見つけられる状態」と言いかえられます。

 

機器をOSINTによって見つけられるということは、攻撃者もそれを見つけられるということです。

セキュリティ業務におけるOSINTでは、これを逆手に取って対策に生かすというわけです(*3)。

 

攻撃者に悪用される恐れのあるデータを隠し、消去することは、フィッシングサービス拒否攻撃(DoS攻撃)を減少させることにつながります。

 

主なツール

SHODAN

インターネットに接続されている機器(IoT, OT)を検索できるサービスです。

 

Censys

SHODANと同様、インターネット接続されたシステムの検索エンジンです。

 

(参考)IPAがSHODANとCensysに関する資料を公開

なお、SHODANとCensysについて、独立行政法人情報処理推進機構(IPA)がまとめた資料がインターネット上で公開されています。

2016年5月と古めの資料ですが、使用上の注意点などについて参考になると思われますので、以下、ご参考までに共有します。

IPA, IPAテクニカルウォッチ

「増加するインターネット接続機器の不適切な情報公開とその対策」

https://www.ipa.go.jp/files/000052712.pdf

 

Maltego

人物、企業、ドメイン、インターネット上の公開情報の、相互の関係性を可視化するツールです。

公式サイトによると、インシデント対応のスピードアップなどに活用できるとのことです。

(画像)Maltego公式サイトより。

 

上図は捜査機関における活用例です。容疑者と被害者の関係性が可視化されています。

 

OWASP Zed Attack Proxy(ZAP)

自社のWebアプリケーションの脆弱性をチェックできます。。

非営利団体のThe OWASP Foundationが運営しており、無料で、日本語にも対応しています。

(画像)OWASP ZAP公式サイトより

 

2. 脆弱性、IoCなどの脅威情報を収集するため

脆弱性やゼロデイ攻撃、他社が受けた攻撃に関する情報を入手して、自分の組織の対策に役立てる方法もあります。

 

こうした情報には例えば、以下のようなものがあります。

 

IoC(Indicator of Compromise)

システムログに残される、攻撃を示唆するデータのこと。脅威情報を共有するために提供されることがあります。

(例)

✔️攻撃者のサーバーとの通信情報

✔️攻撃メール送信者のアドレス

✔️添付ファイル名

✔️ハッシュ値

など

 

脆弱性(欠陥、バグ)

(例)

✔️ 新たに判明した脆弱性

✔️ 判明したのは過去だが、今も悪用されている脆弱性

✔️ ベンダーが発表する修正プログラム(パッチ)

✔️ ゼロデイに関する情報(ベンダー公式サイト、セキュリティ研究者のブログ、ニュースメディアなどに掲載されることあり)

✔️ 脆弱性の深刻度(例:CVSSスコアなど)

 

他社の攻撃事例

(例)

✔️ 漏洩したデータの種類(「顧客データ/従業員データ」「生年月日」「クレジットカード情報」「運転免許証データ」など)

✔️ 行われた攻撃の種類(ランサムウェア、フィッシング、Webサイト改ざん、など)

✔️ IoCなど

 

主なツール

 Google Alert

予め設定した検索文字列(キーワードやブール演算子など)に合致するページがインターネット上に出現すると、リアルタイムでメールに通知してくれます。

 

RSSリーダー

RSSリーダーを使うことで、各サイトをブラウザで巡回しなくとも、Webサイトが更新されるたびに最新情報を手に入れられます。

 

各国のCSIRTがRSSによる情報発信をしている場合があります。

例えば、以下は日本のJPCERT/CCのRSSです。

(画像)JPCERT/CC公式サイトより

 

JPCERT/CC, RSS による情報配信

https://www.jpcert.or.jp/rss/ 

こうしたソースを利用して、重大な脆弱性フィッシングの手口といった脅威情報を、いち早くキャッチすることができます。

 

3. その他:風評リスク、不正行為などの検知

企業のレピュテーション(風評)や、なりすましなどの不正行為に関係するリスクについて調べられます。

主なツール

TinEye

画像を使って画像を検索できるツールです。

キーワードではなく、画像のアップロードやドラッグ&ドロップによって検索できます(公式サイトによると、検索に使用した画像は保存されないとのこと)。

(画像)TinEye公式サイトより。

✔️ 自分が持っている画像がネット上のどこに掲載されているか

✔️ 画像がネット上で無断使用されていないか

 

 などを確認する用途で使用されます。

 

OSINTはOPSECと表裏一体

OSINTと合わせて是非触れておきたい言葉にOPSECがあります。

OPSECとは、Operational Securityのことです。

「公開された自分自身に関するデータで、もしちゃんと分析されたら、まずい事実を暴露してしまうかもしれないようなもの」を保護するためのプロセスを指します。

(軍事的な文脈では「作戦保全」と訳されます)。

 このようなOPSECを強化するために、自組織に関するOSINT任務を負うIT部署は、増加傾向にあります(*4)。

 

OSINTで注意すべきこと

公開情報やOSINTツールには、インターネットが利用できれば誰でも手軽に(時に無料で)使えるというメリットがあります。

一方、以下のデメリットや注意点があります。

 

✔️ 入手できる公開情報の量は膨大だが、反面、取捨選択が難しい

 

✔️ 入手できる公開情報は増加しているが、隠された、核心をつく情報を公開の情報源から得ることは難しい(*5

 

✔️ 攻撃者や犯罪者も公開情報やOSINTツールを利用できてしまう(SHODANなどの例*3

 

✔️ 原則OSINTは合法だが、使いようによっては法的なグレーゾーンになる場合も(*3

 

✔️ 反響効果(ニュースソース関連)

ある一つのメディアに報じられた内容が他のメディアでの引用を繰り返されるうちに、あたかも複数の情報源によって裏付けされた確度の高い素材情報であるかのように誤解されてしまう現象。最初の報道元を確認して、信憑性を検証する必要があります(*5)。

 

OSINTツールを「使いこなす」ためには?

上で述べた通り、OSINTツールで入手できる情報の量は膨大な一方で、取捨選択は難しいです。そんな膨大な情報や数多くのツールを「使いこなす」には、どうすれば良いでしょうか?

 

インテリジェンスを扱う海外の政府機関や企業のサイトを見ると、

情報をインテリジェンスに結実させるプロセスは、インテリジェンス・サイクル(下図)として体系化されていることが分かります。

(図)インテリジェンスサイクル。Flashpoint公式サイト(*6)などを参考に作成。

 

このプロセスを回すことが、役に立つインテリジェンスを提供する上で必要になります(各サイクルの詳しい内容については過去の記事をご覧いただければ幸いです)。

 

具体的には、以下のことを、インテリジェンスを担当する方は常に意識する必要があります。

 

1.プランニング・要件定義

「インテリジェンスを報告する相手は?(経営陣?エンジニア?)」

「自分の組織にとって重要な情報は何か」

 

2.収集 / 3.分析

「集めた情報は信頼できるか」

「情報の集め方や解釈は先入観に歪められていないか」

「集めた情報の解釈は、背景(コンテクスト)に照らして適切か」

 

4.作成 / 5.配布

「報告の方法は適切か(例:経営陣に報告するのに、専門用語だらけになっていないか)」

 

マキナレコードでは、OSINT含むインテリジェンス業務のための各種ツールやトレーニングを提供しております。

 

サイバー脅威インテリジェンス基礎トレーニング

 マキナレコードは、「サイバーインテリジェンスをチームとして積極的に取り入れていきたいが、どこからはじめたらいいかわからない」という方に向けて、グローバルに活躍するインテリジェンス専門家監修のもと、2日間のトレーニングを作成しました。

 

トレーニングでは、以下のスキルを身につけることができます。

 

✔️ 脅威インテリジェンスの流れ全体をイメージする能力

✔️ さまざまなデータソースを理解し、確信を持ってデータを収集する能力

✔️ 基本的なレベルのデータ分析を行う能力

✔️ 効果的な脅威インテリジェンスレポートを作成する能力

✔️ 自らのレポートの効果を評価する能力

 

詳しくは以下のページをご覧ください。

サイバー脅威インテリジェンス基礎トレーニングセミナー

 

Silobreaker

オープンWeb上の非構造化情報(ニュースサイト、SNS、ブログ)などをクローリング(収集)し、AIなどによるコンテクスト付与、可視化、組織内での共有ができるツールです。

(画像)Silobreakerの画面サンプル。Silobreaker公式ページ(https://www.silobreaker.com/product/)より引用。

 

詳しくはこちらのページをご覧ください。

 

Anomali

こちらは脅威情報の収集に加え、分析作業、インシデント対応の自動化も行えるプラットフォームです。

詳しくはこちらのページをご覧ください。

 

参考資料

(*1)米国立標準技術研究所(NIST), COMPUTER SECURITY RESOURCE CENTER

https://csrc.nist.gov/glossary/term/intelligence

 

(*2)米国家情報長官室(ODNI), WHAT IS INTELLIGENCE?

https://www.dni.gov/index.php/what-we-do/what-is-intelligence

 

(*3)OSINTツールの合法性や脅威をめぐっては、さまざまな議論があります。

例えば、IPAはSHODANをめぐって2016年の資料で以下のように述べ、SHODANを対策に活かすべきだとしています。

「SHODANは、インターネット上の機器が応答するバナー情報を収集して検索できるようにしたウェブサービスである。これはインターネット技術を応用したサービスであるため、SHODANでなくても技術力があれば実現可能であることを理解しなければならない。ネットワーク管理者は、SHODANの存在やその悪用の可能性を問題視するよりも、逆にSHODANを自組織の機器の確認に活用することが望ましい。」(pp.10)

https://www.ipa.go.jp/files/000052712.pdf

また、米司法省は以下のような資料を公表しています。

Legal Considerations when Gathering Online Cyber Threat Intelligence and Purchasing Data from Illicit Sources

インターネット上のサイバー脅威インテリジェンス収集、及び、違法情報源からのデータ購入にあたって、法的に検討すべき事項(2020年2月 第一版)

https://www.justice.gov/criminal-ccips/page/file/1252341/download

 

(*4)CSO Online, 15 top open-source intelligence tools

https://www.csoonline.com/article/3445357/what-is-osint-top-open-source-intelligence-tools.html

 

(*5)次の書籍の記述を参考にしました。

小林 良樹(2014)『インテリジェンスの基礎理論(第二版)』、立花書房

(pp.86-87)

 

(*6)https://www.flashpoint-intel.com/blog/threat-intelligence-lifecycle/