2021.11.26 05:55:40
脅威インテリジェンス
OSINTとは? 活用方法、ツール、注意すべき点

OSINT(オープンソース・インテリジェンス)という言葉をサイバーセキュリティに携わっていて耳にしたことがある方も多いかと思います。この記事では、サイバーセキュリティ保護のために活用されるOSINTについて、なるべく簡単にご説明します。
✔️ OSINTはどんな場面で使えるか
✔️ よく使用されるツール
✔️ OSINTのメリット・デメリット
についても紹介していきます。
OSINTの活用方法、主なツール
– 攻撃されそうな組織の情報資産を特定するため
– 脅威情報を収集するため
– その他:風評リスク、不正行為の検知
OSINTとは?
OSINT(オシント)とは、オープンソース・インテリジェンス(Open Source Intelligence)の略語です。
インテリジェンスとは?
「インテリジェンス」という英語は、Artificial Intelligence(AI)の場合のように「知能」と訳されることもありますが、「諜報活動」や「(諜報活動で得られる)情報」とも訳されます。OSINTの「インテリジェンス」は、「諜報」「情報」という意味で使われています。
しかし、インテリジェンスは単なる「情報」ではありません。米国の国立標準技術研究所(NIST)説明によれば、「インテリジェンス」とは「国外の国・地域について入手できる情報を収集、加工、統合、分析、評価、解釈した事による成果物」です(*1)。つまり、「ただ収集しただけの情報」はインテリジェンスとは言えず、収集した情報を加工・分析し、「成果物」にして初めてインテリジェンスとなるのです。
オープンソースとは?
「オープンソース」とは、「誰でも自由に利用できる情報(源)」と言う意味です。たとえば、以下のようなものです。
印刷物、電子情報(ラジオ、テレビ放送、新聞、雑誌、インターネット、商用データベース、動画・図画など)の形で、誰もが入手できる情報
参考:米国家情報長官室(ODNI), WHAT IS INTELLIGENCE? (*2)
なので、OSINTとは次のように定義できます。
誰でも自由に利用できる情報を、収集、加工、統合、分析、評価、解釈した事による成果物
なお、オープンソース以外の情報の例としては、ディープウェブ、ダークウェブ上の情報が挙げられます。ディープウェブとは、通常の検索エンジンにインデックスされないサイト(例:ログインが必要なサイト)からなるWeb空間です。ダークウェブは、ディープウェブのうち、特殊な技術やツール(Torなど)を用いなければアクセスできない領域のことです。
関連記事:
OSINTの活用方法、主なツール
OSINTの活用法はさまざまですが、主に以下の3つが挙げられます。
①攻撃されそうな情報資産を特定するため
②脆弱性、IoCなどの脅威情報を収集するため
③風評リスク、不正行為の検知
1. 攻撃されそうな情報資産の特定
サイバーセキュリティ業務では、公開状態の情報資産を見つけ、どれが攻撃の標的になりそうか(アタックサーフェス)を知って対策に役立てるために、OSINTが使用されます。公開状態とは、「わざわざハッキングしなくてもインターネット上で見つけられる状態」と言いかえられます。機器をOSINTによって見つけられるということは、攻撃者もそれを見つけられるということです。セキュリティ業務におけるOSINTでは、これを逆手に取って対策に生かすというわけです(*3)。
攻撃者に悪用される恐れのあるデータを隠し、消去することは、フィッシングやサービス拒否攻撃(DoS攻撃)を減少させることにつながります。
関連記事:
主なツール
SHODAN
インターネットに接続されている機器(IoT, OT)を検索できるサービスです。
Censys
SHODANと同様、インターネット接続されたシステムの検索エンジンです。
(参考)IPAがSHODANとCensysに関する資料を公開
なお、SHODANとCensysについて、独立行政法人情報処理推進機構(IPA)がまとめた資料がインターネット上で公開されています。2016年5月と古めの資料ですが、使用上の注意点などについて参考になると思われますので、以下、ご参考までに共有します。
IPA, IPAテクニカルウォッチ
「増加するインターネット接続機器の不適切な情報公開とその対策」
Maltego
人物、企業、ドメイン、インターネット上の公開情報の、相互の関係性を可視化するツールです。公式サイトによると、インシデント対応のスピードアップなどに活用できるとのことです。

上図は捜査機関における活用例です。容疑者と被害者の関係性が可視化されています。
OWASP Zed Attack Proxy(ZAP)
自社のWebアプリケーションの脆弱性をチェックできます。非営利団体のThe OWASP Foundationが運営しており、無料で、日本語にも対応しています。

Silobreaker
サーフェスウェブの情報を自動収集し、自社を装うフィッシングサイトや、ペーストサイトの漏洩認証情報などを監視します(ツールの詳細については、記事の後半で改めてご紹介します)。

2. 脆弱性、IoCなど脅威情報の収集
脆弱性やゼロデイ攻撃、他社が受けた攻撃に関する情報を入手して、自分の組織の対策に役立てる方法もあります。こうした情報には例えば、以下のようなものがあります。
脅威情報の例
IoC(Indicator of Compromise)
システムログに残される攻撃を示唆するデータに、メタデータとコンテキスト(背景情報)を加えたものです。脅威情報を共有するために提供されることがあります。
(例)
✔️攻撃者のサーバーとの通信情報
✔️攻撃メール送信者のアドレス
✔️添付ファイル名
✔️ハッシュ値
など
脆弱性(欠陥、バグ)
(例)
✔️ 新たに判明した脆弱性
✔️ 判明したのは過去だが、今も悪用されている脆弱性
✔️ ベンダーが発表する修正プログラム(パッチ)
✔️ ゼロデイに関する情報(ベンダー公式サイト、セキュリティ研究者のブログ、ニュースメディアなどに掲載されることあり)
✔️ 脆弱性の深刻度(例:CVSSスコアなど)
他社の攻撃事例
(例)
✔️ 漏洩したデータの種類(「顧客データ/従業員データ」「生年月日」「クレジットカード情報」「運転免許証データ」など)
✔️ 行われた攻撃の種類(ランサムウェア、フィッシング、Webサイト改ざん、など)
主なツール
Google Alert
予め設定した検索文字列(キーワードやブール演算子など)に合致するページがインターネット上に出現すると、リアルタイムでメールに通知してくれます。
RSSリーダー
RSSリーダーを使うことで、各サイトをブラウザで巡回しなくとも、Webサイトが更新されるたびに最新情報を手に入れられます。 各国のCSIRTがRSSによる情報発信をしている場合があります。例えば、以下は日本のJPCERT/CCのRSSです。

JPCERT/CC, RSS による情報配信
Silobreaker
ニュース、ブログ記事、ソーシャルメディアなどの18か国語のソースからデータを常に自動収集し、グラフやマップなど傾向把握がしやすい形に処理した上で表示します(ツールの詳細については、記事の後半で改めてご紹介します)。

こうしたツールを利用して、重大な脆弱性やフィッシングの手口といった脅威情報を、いち早くキャッチすることができます。
3. 風評リスク、不正行為の検知
企業のレピュテーション(風評)や、なりすましなどの不正行為に関係するリスクについて調べられます。
主なツール
TinEye
画像を使って画像を検索できるツールです。キーワードではなく、画像のアップロードやドラッグ&ドロップによって検索できます(公式サイトによると、検索に使用した画像は保存されないとのこと)。

✔️ 自分が持っている画像がネット上のどこに掲載されているか
✔️ 画像がネット上で無断使用されていないか
などを確認する用途で使用されます。
APIを用いたリスクモニタリング
また、Twitter投稿のモニタリング、模倣ドメインとの関連が疑われるメールアドレスの判別、画像に含まれる物体の特定、画像からのテキスト抽出といったタスクを、APIと簡単なプログラミングによって自動化する方法もあります。詳しくは、以下の記事をご覧ください。
OPSECとは
OSINTと合わせて是非触れておきたい言葉にOPSECがあります。OPSECとは、Operational Securityのことです。「公開された自分自身に関するデータで、もしちゃんと分析されたら、まずい事実を暴露してしまうかもしれないようなもの」を保護するためのプロセスを指します。(軍事的な文脈では「作戦保全」と訳されます)。このようなOPSECを強化するために、自組織に関するOSINT任務を負うIT部署は、増加傾向にあります(*4)。
OSINTで注意すべきこと
公開情報やOSINTツールには、インターネットが利用できれば誰でも手軽に(時に無料で)使えるというメリットがあります。一方、以下のデメリットや注意点があります。
✔️ 入手できる公開情報の量は膨大だが、反面、取捨選択が難しい
✔️ 入手できる公開情報は増加しているが、隠された、核心をつく情報を公開の情報源から得ることは難しい(*5)
✔️ 攻撃者や犯罪者も公開情報やOSINTツールを利用できてしまう(SHODANなどの例*3)
✔️ 原則OSINTは合法だが、使いようによっては法的なグレーゾーンになる場合も(*3)
✔️ 反響効果(ニュースソース関連)…ある一つのメディアに報じられた内容が他のメディアでの引用を繰り返されるうちに、あたかも複数の情報源によって裏付けされた確度の高い素材情報であるかのように誤解されてしまう現象。最初の報道元を確認して、信憑性を検証する必要があります(*5)。
OSINTツールを使いこなすために
上で述べた通り、OSINTツールで入手できる情報の量は膨大な一方で、取捨選択は難しいです。そんな膨大な情報や数多くのツールを「使いこなす」には、どうすれば良いでしょうか?
インテリジェンスを扱う海外の政府機関や企業のサイトを見ると、情報をインテリジェンスに結実させるプロセスは、インテリジェンス・サイクル(下図)として体系化されていることが分かります。

このプロセスを回すことが、役に立つインテリジェンスを提供する上で必要になります(各サイクルの詳しい内容については過去の記事をご覧いただければ幸いです)。具体的には、以下のことを、インテリジェンスを担当する方は常に意識する必要があります。
1.プランニング・要件定義
「インテリジェンスを報告する相手は?(経営陣?エンジニア?)」
「自分の組織にとって重要な情報は何か」
2.収集 / 3.分析
「集めた情報は信頼できるか」
「情報の集め方や解釈は先入観に歪められていないか」
「集めた情報の解釈は、背景(コンテクスト)に照らして適切か」
4.作成 / 5.配布
「報告の方法は適切か(例:経営陣に報告するのに、専門用語だらけになっていないか)」
関連記事:
OSINTツール、トレーニングのご紹介
マキナレコードでは、OSINT含むインテリジェンス業務のための各種ツールやトレーニングを提供しております。
Silobreaker(OSINT特化型インテリジェンス収集・分析ツール)
Silobreakerはサーフェスウェブからデータを集積し、ダッシュボード上に可視化するツールです。ニュース、ブログ記事、ソーシャルメディアなどの18か国語のソースからデータを自動収集するだけでなく、傾向把握がしやすい形(グラフ、マップなど)に処理した上で表示するため、インテリジェンスサイクルのほぼすべて(要件定義除く、収集・分析・作成・配布)において力を発揮します。
情報を検索するためのツールというよりは、常時監視するためのツールです。
(画像)Silobreakerの画面サンプル。Silobreaker公式ページ(https://www.silobreaker.com/product/)より引用。
製品の詳細についてはこちらのページ(マキナレコード公式サイト)をご覧ください。
以下のリンクから説明資料をダウンロードすることも可能です。
また、Silobreakerの運用を、お客様に代わってマキナレコードの実績のあるアナリストが行うマネージドサービスも提供しております。ご興味をお持ちの方は、以下のリンクからお問合せください。
インテリジェンストレーニング
「サイバーインテリジェンスをチームとして積極的に取り入れていきたいが、どこからはじめたらいいかわからない」という方に向けて、グローバルに活躍するインテリジェンス専門家監修のもと、2日間のトレーニングを作成しました。トレーニングはOSINTに限定したものではありませんが、以下のスキルを身につけることができます。
✔️ 脅威インテリジェンスの流れ全体をイメージする能力
✔️ さまざまなデータソースを理解し、確信を持ってデータを収集する能力
✔️ 基本的なレベルのデータ分析を行う能力
✔️ 効果的な脅威インテリジェンスレポートを作成する能力
✔️ 自らのレポートの効果を評価する能力
詳しくは以下のページをご覧ください。
お問い合わせはこちらからどうぞ。
参考資料
(*1)米国立標準技術研究所(NIST), COMPUTER SECURITY RESOURCE CENTER
https://csrc.nist.gov/glossary/term/intelligence
(*2)米国家情報長官室(ODNI), WHAT IS INTELLIGENCE?
https://www.dni.gov/index.php/what-we-do/what-is-intelligence
(*3)OSINTツールの合法性や脅威をめぐっては、さまざまな議論があります。
例えば、IPAはSHODANをめぐって2016年の資料で以下のように述べ、SHODANを対策に活かすべきだとしています。
「SHODANは、インターネット上の機器が応答するバナー情報を収集して検索できるようにしたウェブサービスである。これはインターネット技術を応用したサービスであるため、SHODANでなくても技術力があれば実現可能であることを理解しなければならない。ネットワーク管理者は、SHODANの存在やその悪用の可能性を問題視するよりも、逆にSHODANを自組織の機器の確認に活用することが望ましい。」(pp.10)
また、米司法省は以下のような資料を公表しています。
Legal Considerations when Gathering Online Cyber Threat Intelligence and Purchasing Data from Illicit Sources
インターネット上のサイバー脅威インテリジェンス収集、及び、違法情報源からのデータ購入にあたって、法的に検討すべき事項(2020年2月 第一版)
https://www.justice.gov/criminal-ccips/page/file/1252341/download
(*4)CSO Online, 15 top open-source intelligence tools
https://www.csoonline.com/article/3445357/what-is-osint-top-open-source-intelligence-tools.html
(*5)次の書籍の記述を参考にしました。
小林 良樹(2014)『インテリジェンスの基礎理論(第二版)』、立花書房
(pp.86-87)
(*6)https://www.flashpoint-intel.com/blog/threat-intelligence-lifecycle/

筆者プロフィール
田村恭平 / 株式会社マキナレコード インテリジェンス関連・翻訳担当
2013年に一橋大学卒業後、新聞記者などを経て、2020年にマキナレコード入社。以降、翻訳スタッフとして、情報セキュリティ、インテリジェンス、ダークウェブ関連のレポートやマニュアル文書等の英日翻訳に携わる。インテリジェンス関連のブログ記事制作も担当。