OSINTとは? 活用例やテクニック、ツール、注意すべき点を解説 | Codebook|Security News
Codebook|Security News > Articles > 脅威インテリジェンス > OSINTとは? 活用例やテクニック、ツール、注意すべき点を解説

脅威インテリジェンス

Cyber Intelligence

Intelligence

OSINT

OSINTとは? 活用例やテクニック、ツール、注意すべき点を解説

Tamura

Tamura

2021.11.26

OSINTとは?

OSINT(Open Source Intelligence, 読み:オシント)とは、公開されており誰でも利用できるデータから導かれた知見のことです。インターネット上で見つかる情報を指すことが通常ですが、あらゆる公開情報がOSINTと見なされます。よって、ニュース、記事、ソーシャルメディアの投稿、ブログ投稿のほか、人や組織が収集し公にするデータが含まれます。

OSINTは合法的であり、その元になるのは誰でも利用できる情報です。よって、組織においては、これを自由に使って、有益な知見の提供、意思決定の支援、部門全体のセキュリティ強化に繋げることができます。サイバーセキュリティと脅威インテリジェンスの領域では、OSINTは脆弱性の発見や悪意のアクターの追跡、新たな脅威の観察に活用されます。OSINTのおかげで、セキュリティのプロフェッショナルはサイバー犯罪者が用いる戦術・技術・手順への理解を深められ、組織は防御を強化したり、攻撃の前兆に先手を打ったりできるようになります。

OSINTの歴史

OSINTのルーツは軍にあります。軍において、諜報活動と戦略的なインテリジェンスの収集に用いられていたのです。軍隊は新聞や雑誌、それらの切り抜き、ラジオ放送といった情報源を活用して、有益な情報を収集しようとしました。この慣習は第二次世界大戦の間じゅう続き、米国側の連合国はドイツの新聞を研究したりラジオ放送を聴いたりして知見を得ようとしました。英国のForeign Research and Press Service[1]も、BBC Monitoring Service[2]も、OSINTを業務に取り入れることで、動向をできるだけ素早く効率的に把握しようとしました。

その後、冷戦中は米国中央情報局(CIA)と旧ソ連の国家保安委員会(KGB)がOSINTを利用し、敵国の戦略と能力を把握しようとしました。インターネットがなくとも、新聞、公式発表、誰でも利用できるデータベースを組み合わせることで、有用なインテリジェンスが得られたのです。OSINTという用語は、この種のインテリジェンス収集と諜報の技法を表現するものとして生まれました。

現在OSINTは、軍事から地政学、物理、サイバーセキュリティまで、様々な部門で安全上の懸念に対処するために用いられています。

サイバーセキュリティなどにおけるOSINTの活用例

OSINTはサイバーセキュリティにおいて、以下のように活用されます。

脅威インテリジェンス

オンラインフォーラム、ソーシャルメディアプラットフォーム、その他誰でもアクセスできるソースを監視することで、悪意のアクターが用いる戦術・技術・手順(TTPs)が見つかることがあります。

脆弱性の評価

OSINTは、公開されたベンダーの発表や、セキュリティアドバイザリ、サイバーセキュリティフォーラムを分析対象とします。このため、ソフトウェア、ハードウェア、システムに影響を与える最新の脆弱性のほか、サードパーティのベンダー、パートナー、サプライヤーに起因する脆弱性に関する最新の情報を入手することに繋がります。

ソーシャルエンジニアリングとフィッシング検知

OSINTは、オンライン・プラットフォームとソーシャルメディアのチャンネルを分析して潜在的な標的や従業員、組織の重要人物に関する情報を収集するため、ソーシャルエンジニアリング攻撃とフィッシングキャンペーンの検知に役立ちます。

ブランド保護

ソーシャルメディアやレビューサイト、その他オンライン・プラットフォームをモニタリングし、ブランドへのなりすましや、顧客の不満、ネガティブセンチメントを発見することによって、OSINTが生まれることもあります。

インシデントレスポンス

サイバーセキュリティインシデントの発生中、OSINTを用いて証拠を収集し、攻撃者を突き止め、背景情報(IoCや侵害されたアカウント、リークされたデータなど)を提供することがあります。

その他、捜査や調査にも活用される

OSINTは、軍事とサイバーセキュリティで利用されるほか、捜査や調査報道、企業調査、研究などにも活用されています。

OSINTフレームワーク

OSINTフレームワークとは、オープンソースの情報を収集、分析、活用するために用いられる体系的手法です。一般的な構成要素として、以下のものがあげられます。

計画策定と目標設定

情報のニーズや調査範囲のほか、見るべき情報源や、利用すべき具体的な技法やツールを明確にします。

データの収集

Webサイト、ソーシャルメディア・プラットフォーム、ニュース記事、公開データベース、フォーラム、ブログといった様々なオープンソースから、情報を収集します。その際、Webスクレイピングや、高度な検索演算子、データマイニング、ソーシャルメディア・モニタリングといった、OSINTのツールや技法を利用します。

データの分析

情報の信憑性、信頼性、重要性を評価します。また、データの可視化やリンク分析、相関関係の手法を用いて、パターン、繋がり、重要な知見を見つけます。

情報の取りまとめと報告

レポートやブリーフィング、インテリジェンス・プロダクト(成果物)など、よく整理されたフォーマットにおいて情報を整理、提示することで、分析から導かれた結論や知見を効果的に伝えます。

継続的モニタリングとフィードバック

新たなソースから収集した情報、新しいトレンド、フィードバックループをアップデートすることで、OSINTのプロセスを改善し、得られた教訓を生かします。

OSINTフレームワークは、組織の具体的なニーズや目標に基づいて、改変したりカスタマイズしたりすることが可能です。

OSINTの技法とベストプラクティス

誰でも利用できる情報を収集・分析してOSINTを効率的に作るための技法は、いくつか存在します。まず、アナリストはGoogle、Bing、Yahooといった検索エンジンを使います。高度な検索演算子を用いながら検索結果を絞り込み、求めている情報を見つけるのです。

ソフトウェアツールを用いてWebサイトからデータを抽出するWebスクレイピングを使うと、複数のWebサイトから求めるデータを引き出せるため、アナリストは大量のデータを素早く効率的に収集できます。

データ分析ツール(Excel、Tableau、Rなど)によって、アナリストは大規模なデータセットの中にパターン、トレンド、関係性を見出せるようになります。

セキュリティ検索ツール(Maltego、FOCA、Shodan、TheHarvester、Recon-ng)は、様々なオンラインソースにあるオープンソースデータを分析するのに用いられます。

テクノロジーも情報ソースも新たなものが登場する中、OSINTの技法は絶えず進化しています。よってアナリストは、効率的にOSINTを収集・分析する新たな技法やツールについて、常に最新の情報を仕入れておくことが大切です。

OSINTの情報ソースの例

OSINTに利用できるソースは様々です。Webコンテンツやソーシャルメディア、ニュースにとどまらず、OSINTの目的に利用できるソースやデータの例として、以下のものが挙げられます。

オンラインのフォーラムやコミュニティ

特定の話題や産業と関連のある、フォーラム、ネット掲示板、オンラインコミュニティ

公開データベース

誰でも利用できるデータベース(政府の記録、資産記録、企業の提出文書、裁判資料、許認可データベースなど)

学術研究

学術誌、研究論文、議事録、学位論文

誰でも利用できる政府の報告書

政府機関や国際的組織が公表する報告書、白書、研究成果

オンラインディレクトリ

オンラインディレクトリ、職業別電話帳、職業上のグループや団体のWebサイト

誰でも利用できる地図や衛星画像

地図プラットフォームや、場所、インフラ、地形を写した衛星画像

誰でも利用できるデータリーク

データの漏えいやリーク、公開されている未保護のデータや脆弱性、潜在的リスク

OSINTにまつわる問題

OSINTには多くの利点がある一方で、潜在的な問題や課題も存在します。

正確性と信頼性

OSINTを用いて取得した情報の正確性と信頼性が、問題となることがあります。誰でも利用できるソースには、誤った情報や、偏見、古いデータが入り込んでいることがあります。複数のソースからの情報に対して真偽の確認と比較を行い、正確性を確保することが非常に重要です。

膨大なデータ量

オープンソースデータは量が膨大であり、ふるいにかけ、分析し、優先度に従って順序づけることが大変な場合があります。効果的なデータ管理、フィルタリング、分析技法は、有意義な知見を効率よく引き出す上で必要です。

倫理やプライバシー権

情報を誰でも利用できるソースから収集するといっても、倫理やプライバシー権について考えるべき問題は、やはり存在します。法的・倫理的ガイドラインを確実に順守し、個人のプライバシーを尊重するとともに、慎重な扱いが求められる情報に不正にアクセスしないことが重要です。

妥当なコンテキストの必要性

妥当なコンテキスト(背景、文脈)がなければ、情報は誤って解釈され、不正確な結論や行動を導くかもしれません。アナリストは、対象分野において必要な専門知識と、背景を踏まえた理解によって、正確な知見を引き出さねばなりません。

OSINTの悪用

OSINTは、防御に役立つ情報をもたらすこともありますが、同時に悪性のアクターからサイバー攻撃に悪用されることもあります。ハッカーはOSINTを使います。よって組織においては、損害を与えかねない情報が意図せず公開されないかを注意すること、また、適切なセキュリティ対策を講じて慎重な扱いが求められるデータを保護することが、非常に重要です。

以上の問題に対処するには、熟練のアナリスト、確かな方法論、適切なツールによって、取得したOSINTの信頼性と重要性を確認することが必要です。

OSINTツール

OSINTツールの中には、誰でも利用できるソースにある情報を収集、分析、可視化しやすくするソフトウェアアプリケーションや、プラットフォーム、サービスがあります。こうしたツールは、脅威インテリジェンスチームが、脅威や悪性のアクター、動機、標的を完全に把握する上で欠かせません。ツールがなければ、インテリジェンスチームは検索エンジンやOSINTフィード、Twitter、レポートなどに含まれる非構造化データを、手動で収集、検証、重複排除、標準化する作業に足を取られ、前に進めなくなるでしょう。

ツールの例

Babel X

BuiltWith

DarkSearch.io

Grep.app

 

Intelligence X

Maltego

Metagoofil

Mitaka

 

Recon-ng

Searchcode

Shodan

Silobreaker

 

SpiderFoot

Spyse

theHarvester

Silobreakerはどう役立つか

Silobreakerは、組織がWeb上の非構造化OSINTデータを活用して脅威の発見と優先順位付けを行えるよう支援するため、創業しました。このようなテキスト主体、かつ会話体のデータを数百万もの多言語のソースから集め、データセットを標準化し、そのデータから得られる知見や、それがお客様の優先的インテリジェンス要件(PIR)とどう関係するかを、ワンクリックで提供することを、専門としています。

Silobreakerが提供するデータソース不問のプラットフォームにより、ソースの比較や信頼性と信憑性の計測を、より素早く、より効果的に行うことが可能となります。さらに、情報を分析、可視化して、人物、組織、場所の相互の関係を発見することも可能です。

脅威インテリジェンス・ライフサイクルの全ての手順が、Silobreaker内部で完結します。つまり、サイバー・物理・地政学に関するPIRの管理に始まり、構造化・非構造化データ、オープンソースデータ、ディープ&ダークウェブデータ、フィニッシュド・インテリジェンスデータの自動収集・処理、そしてインテリジェンスの分析・生産・配布までをカバーします。

Silobreakerが、貴社脅威インテリジェンスチームによる高品質で有用なインテリジェンスの生産スピード向上と、意思決定者によるリスク軽減と組織の保護に向けた行動の迅速化にどう役立つかを、デモにてご説明します。お気軽にお申込みください。

製品の詳細についてはこちらのページ(マキナレコード企業サイト)をご覧ください。

以下のリンクから説明資料をダウンロードすることも可能です。

 

サイバー脅威インテリジェンスの要件定義ガイド、無料配布中!

インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』

以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック要件主導型インテリジェンスプログラムの構築方法の日本語訳バージョンを無料でダウンロードいただけます。

<ガイドブックの主なトピック>

本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。

  • 脅威プロファイルの確立
  • ステークホルダーの特定・分析
  • ユースケースの確立
  • 要件の定義と管理
  • データの収集と処理
  • 分析と生産
  • 報告
  • フィードバック
  • 実効性の評価

ランサムウェアレポート無料配布中!

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

  • 主なプレーヤーと被害組織
  • データリークと被害者による身代金支払い
  • ハクティビストからランサムウェアアクターへ
  • 暗号化せずにデータを盗むアクターが増加
  • 初期アクセス獲得に脆弱性を悪用する事例が増加
  • 公に報告された情報、および被害者による情報開示のタイムライン
  • ランサムウェアのリークサイト – ダークウェブ上での犯行声明
  • 被害者による情報開示で使われる表現
  • ランサムウェアに対する法的措置が世界中で増加
  • サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
  • 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

OSINTやインテリジェンスのトレーニングも提供中

弊社マキナレコードは上記Silobreakerのほか、「サイバーインテリジェンスをチームとして積極的に取り入れていきたいが、どこからはじめたらいいかわからない」という方向けに、グローバルに活躍するインテリジェンス専門家監修のトレーニングを提供しております。OSINTを始めとするインテリジェンス業務に必要な、以下のスキルを身につけることができます。

✔️ 脅威インテリジェンスの流れ全体をイメージする能力

✔️ さまざまなデータソースを理解し、確信を持ってデータを収集する能力

✔️ 基本的なレベルのデータ分析を行う能力

✔️ 効果的な脅威インテリジェンスレポートを作成する能力

✔️ 自らのレポートの効果を評価する能力

 

 詳しくは以下のページをご覧ください。

インテリジェンストレーニング/セキュリティアナリスト養成 

(マキナレコード企業サイトに移動します)

以下のリンクから説明資料をダウンロードすることも可能です。

翻訳元サイト

Silobreaker, What is OSINT and why is it important?

参考資料

[1]細谷 雄一, 2015, 「国際連合創設への設計図:チャールズ・ウェブスターと世界秩序の構想、一九四二年-四三年」

[2]Alban Webb, “BBC Monitoring in Wartime” (BBC公式Webサイト

Writer

Tamura株式会社マキナレコード インテリジェンスアナリスト・翻訳者

訳者

一橋大学卒業後、新聞記者などを経て、マキナレコード入社。以降、翻訳スタッフとして、情報セキュリティやダークウェブ関連のインテリジェンスレポートや、マニュアル文書等の英日翻訳を担当。現在、アナリストチームの一員として分析・報告業務に携わる。翻訳者評価登録センター (RCCT)登録翻訳者。資格区分:Professional Translator(T00074)。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ