OSINTとは? 活用方法、ツール、注意すべき点 | Codebook|Security News
Codebook|Security News > Articles > 脅威インテリジェンス > OSINTとは? 活用方法、ツール、注意すべき点

脅威インテリジェンス

Anomali

Cyber Intelligence

Intelligence

OSINTとは? 活用方法、ツール、注意すべき点

Tamura

Tamura

2021.11.26

 

OSINT(オープンソース・インテリジェンス)という言葉をサイバーセキュリティに携わっていて耳にしたことがある方も多いかと思います。この記事では、セキュリティ対策に活用されるOSINTを中心になるべく簡単にご説明します。

✔️ OSINTはどんな場面で使えるか

✔️ よく使用されるツール

✔️ OSINTのメリット・デメリット

についても紹介していきます。

OSINTとは?

OSINTの活用方法、主なツール
– 攻撃されそうな組織の情報資産を特定するため
– 脅威情報を収集するため
– その他:風評リスク、不正行為の検知

OSINTで注意すべきこと

OSINTツールを「使いこなす」ために

OSINTツール、トレーニングのご紹介

OSINTとは?

OSINT(オシント)とは、オープンソース・インテリジェンス(Open Source Intelligence)の略語です。

インテリジェンスとは?

「インテリジェンス」という英語は、Artificial Intelligence(AI)の場合のように「知能」と訳されることもありますが、「諜報活動」や「(諜報活動で得られる)情報」とも訳されます。OSINTの「インテリジェンス」は、後者の「諜報」「情報」という意味で使われています。

ただし、インテリジェンスは単なる「情報」ではありません。米国の国立標準技術研究所(NIST)の説明によれば、「インテリジェンス」とは「国外の国・地域について入手できる情報を収集、加工、統合、分析、評価、解釈した事による成果物」です(*1)。つまり、「ただ収集しただけの情報」はインテリジェンスとは言えず、収集した情報を加工・分析し、「成果物」にして初めてインテリジェンスとなるのです。

インテリジェンスに関しては、以下の記事で、さらに詳しく解説しています。

関連記事:脅威インテリジェンスとは何か? その種類と重要性

オープンソースとは?

「オープンソース」とは、「誰でも自由に利用できる情報(源)」と言う意味です。たとえば、以下のようなものです。

印刷物、電子情報(ラジオ、テレビ放送、新聞、雑誌、インターネット、商用データベース、動画・図画など)の形で、誰もが入手できる情報

参考:米国家情報長官室(ODNI),  WHAT IS INTELLIGENCE? (*2)

なので、OSINTとは次のように定義できます。

誰でも自由に利用できる情報を、収集、加工、統合、分析、評価、解釈した事による成果物

なお、オープンソース以外の情報の例としては、ディープウェブ、ダークウェブ上の情報が挙げられます。ディープウェブとは、通常の検索エンジンにインデックスされないサイト(例:ログインが必要なサイト)からなるWeb空間です。ダークウェブは、ディープウェブのうち、特殊な技術やツール(Torなど)を用いなければアクセスできない領域のことです。

関連記事:

ダークウェブとは?何が行われている?仕組みから最新動向まで

Telegramがオープンソース調査に必要不可欠な理由

OSINTの活用方法、主なツール

OSINTの活用法はさまざまですが、主に以下の3つが挙げられます。

①攻撃されそうな情報資産を特定するため

②脆弱性、IoCなどの脅威情報を収集するため

③風評リスク、不正行為の検知

1. 攻撃されそうな情報資産の特定

サイバーセキュリティ業務では、公開状態の情報資産を見つけ、どれが攻撃の標的になりそうか(アタックサーフェス)を知って対策に役立てるために、OSINTが使用されます。公開状態とは、「わざわざハッキングしなくてもインターネット上で見つけられる状態」と言いかえられます。機器をOSINTによって見つけられるということは、攻撃者もそれを見つけられるということです。セキュリティ業務におけるOSINTでは、これを逆手に取って対策に生かすというわけです(*3)。

関連記事:

アタックサーフェスとは? 具体例や管理のポイント

フィッシングサイトのテイクダウンとは

主なツール

SHODAN

インターネットに接続されている機器(IoT, OT)を検索できるサービスです。

SHODANの画面のスクリーンショット

Censys

SHODANと同様、インターネット接続されたシステムの検索エンジンです。

(参考)IPAがSHODANとCensysに関する資料を公開

なお、SHODANとCensysについて、独立行政法人情報処理推進機構(IPA)がまとめた資料がインターネット上で公開されています。2016年5月と古めの資料ですが、使用上の注意点などについて参考になると思われますので、以下、ご参考までに共有します。

IPA, IPAテクニカルウォッチ

「増加するインターネット接続機器の不適切な情報公開とその対策」

https://warp.da.ndl.go.jp/info:ndljp/pid/12446699/www.ipa.go.jp/files/000052712.pdf *国立国会図書館インターネット資料収集保存事業(WARP)サイトのアーカイブに遷移します。

OWASP Zed Attack Proxy(ZAP)

自社のWebアプリケーションの脆弱性をチェックできます。非営利団体のThe OWASP Foundationが運営しており、無料で、日本語にも対応しています。

OWASP ZAP公式サイトのスクリーンショットの画像

(画像)OWASP ZAP公式サイトより

Silobreaker

以上のツールは、「攻撃されそうな情報資産の特定」の中でも、オープンポートや脆弱性の発見に特化したものです。一方で、漏洩した自社のシステムの認証情報や顧客情報もまた、ハッキングやフィッシングに悪用される恐れがあります。Silobreakerは、ペーストサイトなどのオープンソースを監視し、漏洩認証情報を検知することが可能です(ツールの詳細については、記事の後半で改めてご紹介します)。

Silobreakerの操作画面

画像:Silobreakerの操作画面(フィッシング対策用にカスタマイズされたもの)。URLやIPアドレスといったフィッシングに関するオープンソース情報の傾向を表示させることができます。

2. 脆弱性、IoCなど脅威情報の収集

脆弱性やゼロデイ攻撃、他社が受けた攻撃に関する情報を入手して、自分の組織の対策に役立てる方法もあります。こうした情報には例えば、以下のようなものがあります。

脅威情報の例

IoC(Indicator of Compromise)

システムログに残される攻撃を示唆するデータに、メタデータとコンテキスト(背景情報)を加えたものです。脅威情報を共有するために提供されることがあります。

(例)

✔️攻撃者のサーバーとの通信情報

✔️攻撃メール送信者のアドレス

✔️添付ファイル名

✔️ハッシュ値

など

脆弱性(欠陥、バグ)

(例)

✔️ 新たに判明した脆弱性

✔️ 判明したのは過去だが、今も悪用されている脆弱性

✔️ ベンダーが発表する修正プログラム(パッチ)

✔️ ゼロデイに関する情報(ベンダー公式サイト、セキュリティ研究者のブログ、ニュースメディアなどに掲載されることあり)

✔️ 脆弱性の深刻度(例:CVSSスコアなど)

他社の攻撃事例

(例)

✔️ 漏洩したデータの種類(「顧客データ/従業員データ」「生年月日」「クレジットカード情報」「運転免許証データ」など)

✔️ 行われた攻撃の種類(ランサムウェア、フィッシング、Webサイト改ざん、など)

主なツール

 Google Alert

予め設定した検索文字列(キーワードやブール演算子など)に合致するページがインターネット上に出現すると、リアルタイムでメールに通知してくれます。欲しい情報がよく掲載されるソース(例:セキュリティベンダーのホワイトペーパー、政府機関のアドバイザリ等)が分かっていれば、最新情報を漏らさず入手できます。

RSSリーダー

RSSリーダーを使うことで、各サイトをブラウザで巡回しなくとも、Webサイトが更新されるたびに最新情報を手に入れられます。 各国のCSIRTがRSSによる情報発信をしている場合があります。例えば、以下は日本のJPCERT/CCのRSSです。

JPCERT/CC公式サイトのスクリーンショットの画像

(画像)JPCERT/CC公式サイトより

JPCERT/CC, RSS による情報配信

https://www.jpcert.or.jp/rss/ 

Silobreaker

Google AlertやRSSでは、予め選択した特定のソースからの情報を、更新される度に収集することができます。他方で、膨大な数のソースの1つ1つにアラートやRSSを設定するのは非現実的ですし、収集した情報の加工までは行なってくれません。

Silobreakerは、ニュース、ブログ記事、ソーシャルメディアなどの18か国語のソースからデータを常に自動収集し、グラフやマップなど傾向把握がしやすい形に処理した上で表示します(ツールの詳細については、記事の後半で改めてご紹介します)。

Silobreakerの操作画面

画像:Silobreakerの操作画面。攻撃タイプや攻撃グループ、マルウェアの傾向が表示されています(何を表示させるかはカスタマイズ可能)。

3. 風評リスク、不正行為の検知

セキュリティ業務という用途からは、やや離れますが、企業のレピュテーション(風評)保護や、なりすましなどの不正行為への対策に役立つツールもあります。

主なツール

TinEye

画像検索に特化したツールです。キーワードではなく、画像のアップロードやドラッグ&ドロップによって検索できます(公式サイトによると、検索に使用した画像は保存されないとのこと)。

TinEye公式サイトのスクリーンショットの画像

(画像)TinEye公式サイトより。

✔️ 自分が持っている画像がネット上のどこに掲載されているか

✔️ 画像がネット上で無断使用されていないか

 などを確認する用途で使用されます。

APIを用いたリスクモニタリング

また、X(旧Twitter)の投稿のモニタリングや、模倣ドメインとの関連が疑われるメールアドレスの判別、画像に含まれる物体の特定、画像からのテキスト抽出といったタスクを、APIと簡単なプログラミングによって自動化する方法もあります。詳しくは、以下の記事をご覧ください。

関連記事:プログラミング初心者向け、OSINTに役立つAPI

Silobreaker

Silobreakerは、IoCや脆弱性情報だけでなく、サーフェスウェブ上のあらゆる情報を収集するため、SNSのモニタリング、ドメインの監視などにも活用可能です(ツールの詳細については、記事の後半で改めてご紹介します)。

OSINTで注意すべきこと

公開情報やOSINTツールには、インターネットが利用できれば誰でも手軽に(時に無料で)使えるというメリットがあります。一方、以下のデメリットや注意点があります。

公開情報であるがゆえの限界

入手できる公開情報の量は膨大ですが、反面、取捨選択が難しいと言えます。また、入手できる公開情報は増加していますが、隠された、核心をつく情報を公開の情報源から得ることは難しいと言われています(*5)。

OSINT行為の合法性

攻撃者や犯罪者も公開情報やOSINTツールを利用できてしまいます(上記のSHODANの例*3)。よって、使い方によっては法的なグレーゾーンになることも考えられます(*3)。

OSINTのバイアス

ある1つのメディアに報じられた内容が他のメディアでの引用を繰り返されるうちに、あたかも複数の情報源によって裏付けされた確度の高い素材情報であるかのように誤解してしまうエコーチェンバー効果」という落とし穴があります。最初の報道元を確認して、信憑性を検証する必要があります(*5)。

関連記事:インテリジェンスにおける仮定とバイアスの罠を理解し克服する

OSINTツールを使いこなすために

上で述べた通り、OSINTツールで入手できる情報の量は膨大な一方で、取捨選択には一定のスキルが求められます。そんな膨大な情報や数多くのツールを「使いこなす」には、どうすれば良いでしょうか?

インテリジェンスを扱う海外の政府機関や企業のサイトを見ると、情報をインテリジェンスに結実させるプロセスは、インテリジェンス・サイクル(下図)として体系化されていることが分かります。

インテリジェンスサイクルの図

(図)インテリジェンスサイクル。Flashpoint公式サイト(*6)などを参考に作成。

このプロセスを回すことが、役に立つインテリジェンスを提供する上で必要になります(各サイクルの詳しい内容については過去の記事をご覧いただければ幸いです)。具体的には、以下のことを、インテリジェンスを担当する方は常に意識する必要があります。

1.プランニング・要件定義

「インテリジェンスを報告する相手は?(経営陣?エンジニア?)」

「自分の組織にとって重要な情報は何か」

2.収集 / 3.分析

「集めた情報は信頼できるか」

「情報の集め方や解釈は先入観に歪められていないか」

「集めた情報の解釈は、背景(コンテクスト)に照らして適切か」

4.作成 / 5.配布

「報告の方法は適切か(例:経営陣に報告するのに、専門用語だらけになっていないか)」

関連記事:

脅威インテリジェンスとは何か? その種類と重要性

脅威インテリジェンスの活用方法、製品・ツールを比較する際のポイント

OSINTツール、トレーニングのご紹介

マキナレコードでは、OSINT含むインテリジェンス業務のための各種ツールやトレーニングを提供しております。

Silobreaker(OSINT特化型インテリジェンス収集・分析ツール)

Silobreakerはサーフェスウェブからデータを集積し、ダッシュボード上に可視化するツールです。ニュース、ブログ記事、ソーシャルメディアなどの18か国語のソースからデータを自動収集するだけでなく、傾向把握がしやすい形(グラフ、マップなど)に処理した上で表示するため、インテリジェンスサイクルのほぼすべて(要件定義・収集・分析・作成・配布)において力を発揮します。

情報を検索するためのツールというよりは、常時監視するためのツールです。

Silobreakerの操作画面

(画像)Silobreakerの画面サンプル。Silobreaker公式ページ(https://www.silobreaker.com/product/)より引用。 

 

製品の詳細についてはこちらのページ(マキナレコード公式サイト)をご覧ください。

以下のリンクから説明資料をダウンロードすることも可能です。

また、Silobreakerの運用を、お客様に代わってマキナレコードの実績のあるアナリストが行うマネージドサービスも提供しております。ご興味をお持ちの方は、以下のリンクからお問合せください。

 

インテリジェンストレーニング

「サイバーインテリジェンスをチームとして積極的に取り入れていきたいが、どこからはじめたらいいかわからない」という方に向けて、グローバルに活躍するインテリジェンス専門家監修のもと、2日間のトレーニングを作成しました。トレーニングはOSINTに限定したものではありませんが、以下のスキルを身につけることができます。

✔️ 脅威インテリジェンスの流れ全体をイメージする能力

✔️ さまざまなデータソースを理解し、確信を持ってデータを収集する能力

✔️ 基本的なレベルのデータ分析を行う能力

✔️ 効果的な脅威インテリジェンスレポートを作成する能力

✔️ 自らのレポートの効果を評価する能力

 詳しくは以下のページをご覧ください。

https://codebook.machinarecord.com/15017/

お問い合わせはこちらからどうぞ。

 

参考資料

(*1)米国立標準技術研究所(NIST), COMPUTER SECURITY RESOURCE CENTER

https://csrc.nist.gov/glossary/term/intelligence

(*2)米国家情報長官室(ODNI), WHAT IS INTELLIGENCE?

https://www.dni.gov/index.php/what-we-do/what-is-intelligence

(*3)OSINTツールの合法性や脅威をめぐっては、さまざまな議論があります。

例えば、IPAはSHODANをめぐって2016年の資料で以下のように述べ、SHODANを対策に活かすべきだとしています。

「SHODANは、インターネット上の機器が応答するバナー情報を収集して検索できるようにしたウェブサービスである。これはインターネット技術を応用したサービスであるため、SHODANでなくても技術力があれば実現可能であることを理解しなければならない。ネットワーク管理者は、SHODANの存在やその悪用の可能性を問題視するよりも、逆にSHODANを自組織の機器の確認に活用することが望ましい。」(pp.10)

https://warp.da.ndl.go.jp/info:ndljp/pid/12446699/www.ipa.go.jp/files/000052712.pdf  *国立国会図書館インターネット資料収集保存事業(WARP)サイトのアーカイブに遷移します。

また、米司法省は以下のような資料を公表しています。

Legal Considerations when Gathering Online Cyber Threat Intelligence and Purchasing Data from Illicit Sources

インターネット上のサイバー脅威インテリジェンス収集、及び、違法情報源からのデータ購入にあたって、法的に検討すべき事項(2020年2月 第一版)

https://www.justice.gov/criminal-ccips/page/file/1252341/download

(*4)CSO Online, 15 top open-source intelligence tools

https://www.csoonline.com/article/3445357/what-is-osint-top-open-source-intelligence-tools.html

(*5)次の書籍の記述を参考にしました。

小林 良樹(2014)『インテリジェンスの基礎理論(第二版)』、立花書房

(pp.86-87)

(*6)https://www.flashpoint-intel.com/blog/threat-intelligence-lifecycle/

 

Writer

Tamura株式会社マキナレコード インテリジェンスアナリスト・翻訳者

著者

一橋大学卒業後、新聞記者などを経て、マキナレコード入社。以降、翻訳スタッフとして、情報セキュリティやダークウェブ関連のインテリジェンスレポートや、マニュアル文書等の英日翻訳を担当。現在、アナリストチームの一員として分析・報告業務に携わる。翻訳者評価登録センター (RCCT)登録翻訳者。資格区分:Professional Translator(T00074)。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ