サイバーセキュリティの分野では「OSINT(オープンソースインテリジェンス)」と言う言葉をよく聞く様になっています。
では「OSINT」とは一体何なのでしょうか?セキュリティエバンジェリストが簡単に説明したいと思います。
セキュリティエバンジェリスト面和毅さんに、セキュリティアナリストの仕事についてインタビューをした動画です!
実践的セキュリティスクール「セキュ塾」で、この記事の執筆者でもあり「OSINT実践ガイド」の著者でもある「面和毅」が主講師を務める「脅威インテリジェンス育成コース」の11月2日より開講中!こちらの講座はいつからでも受講を開始できる講座になっておりますので、ぜひチェックしてみてください!
OSINT(オープンソースインテリジェンス)とは
「OSINT」とは、その名の通り「オープンになっているソース(情報源)から情報を取ってきてインテリジェンスに用いる」手法の事です。元々は軍事用語から来ておりその歴史は第一次大戦ぐらいまで遡れます。時のフランス政府は、ドイツ軍がフランスの新聞など(これも誰でも入手出来るので、オープンソースですよね)を情報源としてフランスへの攻撃に「OSINT」として利用している事を知り、対策を講じていた様です。
当然現代でも「OSINT」は軍事的に利用されており、ロシアによるウクライナ侵攻でも、「ロシアのボランティアがSNSにアップロードした写真から部隊の位置が判明し、ウクライナ軍が攻撃を行なった」といった事も発生しています。
この様に「OSINT」は様々な分野で活用されていますが、これをサイバーセキュリティの分野に活用したのが、一般的にサイバーセキュリティ分野で言われている「OSINT」になります。
ここで注意したいのは「OSINT」はあくまでも「Intelligence」なので、単なる「データ収集」だけでは無く、それをどう活かしていくかと言うところまで含めてのものだという事です。単純にオープンになっているデータを集めるのは「データ収集」になりますので、そこの違いは覚えておいてください。
OSINTを活用する目的
OSINTはあくまでも「インテリジェンスのためのソース源の一つとしてオープンになっているデータソースを活用したもの」です。では、何故これほど「OSINT」が注目されているのでしょうか。
それはやはり、今や殆どの情報がInternet上でやり取りされており、その中でも「一見重要ではないと思われる」情報が「知らない間に」公開されていると言うところから来ていると思います。
現在、SNSなどをやっていない人物は殆どいないと思います。しかし、彼らのSNS内での発言や情報共有が「公開」されていて「誰からも検索が可能な状態か」という所に気を付けるユーザは相対的に多くないと思われます。良い例が「バズる」事を目的とした行為が一生保管されて消えなくなってしまうというデジタルタトゥーですが、彼らはあくまでも「仲間内」でやっていて、それが多くの人から「見えている」「消えない」と言うことは意識していないと思われます。
さらに「重要な情報」は基本的にクローズにするものですが、それに関わった情報、例えばある極秘のデータセンターに勤める人間がSNSなどで「今日はここの定食が美味しかった」と上げるような事は「重要な情報」では無いため危機意識から外れてしまいがちになります。しかし、この人間が食べた定食のお店をうまく調べることで、データセンターの場所が特定できてしまう、などという事があり得るわけです。その様に「意識していなかったが漏れてしまった」情報などがオープンなデータソースとなり、それを活用したOSINTでも使われるわけです。
HUMINT(Human Intelligence)やSIGINT(Signal Intelligence)との違い
HUMINTとの違い
HUMINTは対人関係を利用して得たデータを元にインテリジェンスを作る手法になります。これはインテリジェンスの中でも古くから用いられてきた手法で、「対象となる企業等の人間に物理的に接触して、情報を得る」ものになります。こちらは「スパイ活動」とも呼ばれますが、「Mission Impossible」の様な大々的なものを想像していただく必要はありません。企業が加盟してるコミュニティに参加して企業の情報を取得したり、偽の求人活動を行なって標的の会社の人間を騙してスパイをさせる様なものが挙げられます。
SIGINTとの違い
SIGINTは電話や無線、GPS、Wifi等から収集した情報を元にインテリジェンスを構築する活動です。例えば電話を盗聴して情報を収集したり、無線LANを解読して通信を傍受して分析するようなものがあります。
この様な活動の特性上、SIGINTのデータソースは違法となる可能性が極めて高いもので、情報を収集する側は相応の技術を持っているものになります。しかし、現在は殆どの情報がインターネットにあることから、この分野も情報収集活動としては主要な分野でもあります。
OSINTに使われる様な公開情報
意図して公開されている情報
意図して公開されている情報として一般的にわかりやすい例としては「企業のコンタクト情報」や「企業トップによるSNS」等でしょう。ユーザに対するコンタクト先などの利便性を提供しますが、一方でメールアドレスの悪用をされる可能性があります。また、企業トップによるSNSは、そのSNSでトップを騙ったアカウントによる荒らし行為が発生する可能性がありますし、それにより企業のイメージがダウンさせられる可能性があります。これらのオープンになっているデータを収集して、インテリジェンスとしてのOSINT に繋げていきます。
意図せず公開されている情報
意図せずに公開されている情報としては、やはり「IoTやネットワーク機器の情報」が代表的でしょう。「Shodan」などのツールを用いると、インターネットに接続されたデバイスのポートやファームウェアバージョンなどを調べる事ができます。例えば自社で意図せずに公開されてしまっている情報なども、このようなツールから取得できますので、その様なオープンになっているデータを元にインテリジェンスとしてのOSINT に繋げていきます。
OSINTの重要性
将来への予測と備え
例えば簡単な例として、下記の様なオープンなデータが収集できたとします。
- 外部にオープンになっている自社の機器類
- 外部にA社製のネットワーク機器が(ファームウェアバージョン含めて)丸見えだった
- 自社が属している業界に対する直近の攻撃
- 攻撃者XがA社製のネットワーク機器の脆弱性を突いて攻撃するのが流行っている。
- 攻撃者Xが攻撃する際のTTPや、攻撃の際に残していくIoCが公開されている。
これらの収集情報から、自社が同様の危険に晒されるかをある程度予測し、それに対応できる様に先手を打って防御側を固めておく事ができます。例えば、
- 社内のA社製のネットワーク機器が外部から見えない様に修正しておく
- A社製のネットワーク機器のファームウェアを更新しておく
- 社内に(野良ITなどで)A社製のネットワーク機器が無いかを再度確認しておく
- 攻撃者Xに関しての公開されている情報を読み、Xが他にどんな攻撃を行うかを確認して対処する。例えば脆弱性以外にも標的型メールを使う様な攻撃をしているなら、全社員に標的型メールに関する教育を行う。
- 既に知らない間に攻撃されていないかを念の為に確認するため、攻撃者XのIoCから脅威ハンティングを行い、社内で該当するような通信や痕跡が無いことを確認しておく。
- 同様にIDS・ファイアウォールなどを設定しておき、攻撃者Xが万が一にも忍び込んだ場合に、異常な通信などで検知できる様にしておく。
などがあります。この様に、公開されている情報を用いてインテリジェンスを行い、プライオリティをつけて攻撃にある程度備えておく事ができるわけです。
OSINTの危険性
攻撃者にも利用される可能性がある
オープンになっているデータソースは当然「誰からも」見えるということで、善意の人間だけではなく悪意を持った人間にも見られる可能性があります。また、その様なデータソースは基本的にアングラなところも多く、例えばダークウェブ内や関係するニュースを取り上げるニュースサイトである「DeepDotWeb」ですが、違法なDarknetマーケットプレイスへの直接のリンクをユーザに提供していたことから、2019年にFBIにより閉鎖されました。下記がその際の画像になります。
(画像はSecurityAffairs: INTERNATIONAL POLICE OPERATION SEIZED DEEPDOTWEB AND ARRESTED ITS ADMINISTRATORSより引用)
信憑性の低い情報が混じっている可能性がある
オープンになっているデータソースは当然アングラなものもあり信憑性が低い情報や不正確な情報が混じっていたりします。そのため、その様な箇所からデータを持ってくる場合には、その他のセキュリティベンダーや政府系・研究系の情報となるべく付き合わせる様にし、情報の裏取をなるべく行う様にします。
オープンになっているデータを取得するOSINTツール3選
Shodan
Shodanは言わずもがなのツールでしょう。インターネットに接続されたデバイスの様々な情報(OSやファームウェアのバージョン・アプリのバージョンなど)を調べる事ができます。色々な機能を使いたい場合にはユーザ登録が必要です。
VirusTotal
こちらも有名ですね。ファイルやWebサイトのマルウェア検査を行う事ができます。また、マルウェアのハッシュを検索したりも出来るので、YARAルールと併用して怪しいファイルがないかの検索などにも使用できます。
github
意外なところでgithubもよく使います。脆弱性が出た際にPoCやExploitが公開されるケースが結構あります(PoCと称して騙すマルウェアなんかも含まれているので注意が必要です)。また、YARAルールやSnortルールなども公開されている事があります。
OSINTの将来性
OSINT自体は既に100年以上使われている技術ですので、廃れる様なことはおそらく無いはずです。ただし、「OSINTに関しての幻想」が先行しすぎており、それにより「サイバーセキュリティでのOSINT活用」自体が一定の所で止まる(幻滅する)という可能性も当然あります。
というのは、OSINTは所詮「オープンになっているデータを元に行なったインテリジェンス」にしか過ぎないからです。裏返していうと「オープンになっていないデータ(クローズドなデータ)」は元にする事ができないため、当然ながら理論上一定の限界が存在します。
最近では、
- オープンになっているデータ
- OSINT(Open Source Intelligence)として活用
- クローズドになっているデータ
- CSINT(Closed Source Intelligence)として活用
という様に、CSINTという言葉も出てきています。
商用製品で「脅威インテリジェンスを補助する様なサービス」を提供している場合には、上述の「OSINT」に加えて「CSINT」にも対応できるように、「オープンになっているデータ」と「クローズドなソースからのデータ」も入れて提供しています。これらを併せて作ったインテリジェンスの方が、より広範囲に対応する事ができます。
セキュリティエバンジェリスト「面和毅」のQ&A
- QOSINTとは何ですか?
- A
記事にも書いてありますが、「オープンになっているデータソースを元に行うインテリジェンス」になります。
- QオープンになっているデータをまとめるとOSINTになりますか?
- A
オープンになっているデータをまとめたものは「オープンになっているデータをまとめた記事」です。「インテリジェンス」はそれらのデータ・情報を元にどう活用していくのかの提案まで含めたものになりますので、そこまで入れないとOSINTにはなりません。
- QOSINTを使うと、何でも先のものまで対処できちゃうんですか?
- A
当たり前ですが、そんなことはありません。OSINTはあくまでも「オープンになっているデータソースからデータを集めてインテリジェンスにするもの」なので、「オープンになっていないデータ」に関しては不可能です。また、その精度も(悲しいですが)100%ということは無く、あくまでも「来るかもしれない物事をなるべくオープンになっているデータを元にして予測し備える」ものになります。
実践的セキュリティスクール「セキュ塾」で、この記事の執筆者でもあり「OSINT実践ガイド」の著者でもある「面和毅」が主講師を務める「脅威インテリジェンス育成コース」の11月2日より開講中!こちらの講座はいつからでも受講を開始できる講座になっておりますので、ぜひチェックしてみてください!
私が執筆した「OSINT実践ガイド」もよければチェックしてみてください!
コメント