オープンソースインテリジェンス (OSINT)

OSINTとは？

オープンソースインテリジェンス (OSINT) とは、調査目的で一般に入手可能なデータを収集・分析する行為のことです。

オープンソースデータとは？

オープンソースデータとは、一般公開されていて利用可能な情報、または要求に応じて利用可能になる情報のことです。OSINTソースには以下が含まれます。

• 新聞、雑誌記事、およびマスコミ報道
• 学術論文、研究発表
• 書籍、その他参考資料
• ソーシャルメディア活動
• 国勢調査データ
• 電話帳
• 裁判所への提出書類
• 逮捕歴
• 公開取引データ
• 公的調査
• 場所コンテキストデータ
• 侵害または漏洩に関する開示情報
• IPアドレス、ドメイン、ファイルハッシュなど、サイバー攻撃に関して一般公開されている痕跡
• 証明書またはドメインの登録データ
• アプリケーションまたはシステムの脆弱性データ

ほとんどのオープンソースデータは、オープンインターネット経由でアクセスされ、Googleなどの検索エンジンによりインデックス化されていますが、検索エンジンでインデックス化されていないよりクローズドなフォーラムからアクセスすることもできます。ほとんどのディープウェブコンテンツは、ペイウォールの背後にあったり、アクセスにログインが必要だったりするため、一般ユーザーがアクセスすることはできませんが、それでもパブリックドメインの一部と見なされます。

また、多くの場合、情報の各オープンソースから活用できる膨大な二次データが存在することに注意することにも留意してください。例えば、ソーシャルメディアアカウントをマイニングして、ユーザーの名前、生年月日、家族構成、居住地などの個人情報を得ることができます。一方で、特定の投稿のファイルメタデータから、投稿が行われた場所、ファイルの作成に使用されたデバイス、ファイルの作成者などの追加情報も明らかにすることができます。

オープンソースデータはどのように使用されますか？

OSINTのコンテキストでは、インテリジェンスとは、インサイトを得るために公開データを抽出および分析することを指し、得られたインサイトは意思決定と通知アクティビティを改善するために使用されます。従来、OSINTは国家安全保障および法執行コミュニティで使用される手法でした。しかし、近年では、サイバーセキュリティにおける基本的な機能にもなっています。

OSINTとサイバーセキュリティ

サイバーセキュリティの領域では、インテリジェンスの研究者やアナリストが、オープンソースデータを活用して脅威の状況をより適切に把握し、IT環境内の既知のリスクから組織や個人を保護するために役立てています。

サイバーセキュリティにおけるOSINTのユースケース

サイバーセキュリティにおけるOSINTの一般的なユースケースとして、次の2つがあります。

1. 自身の組織のリスクの測定
2. アクター、戦術、ターゲットの把握

自身のリスクの測定

ペネトレーションテスト（侵入テスト、セキュリティ検証、脅威対象領域評価、倫理的ハッキングなど）は、組織のサイバーセキュリティ能力をテストし、脆弱性を明らかにするために、実際のサイバー攻撃をシミュレートするものです。ペネトレーションテストの目的は、IT環境内の弱点や脆弱性を特定し、脅威アクターによって発見され悪用される前に修復することです。

ペネトレーションテストにはさまざまな種類がありますが、OSINTのコンテキストで最も一般的なものは次の2つです。

• 外部侵入テスト：インターネットに接続しているシステムを評価して、データ漏洩や不正アクセスにつながる悪用可能な脆弱性があるかどうかを判断します。テストには、システムの特定、列挙、脆弱性の検知、エクスプロイトが含まれます。
• 脅威対象領域評価：これは攻撃対象領域分析とも呼ばれ、セキュリティの脆弱性を確認およびテストする必要があるシステムの箇所の調査に関するものです。攻撃対象領域分析のポイントは、アプリケーションのリスク領域を把握し、開発者やセキュリティ専門家にアプリケーションのどの部分が攻撃を受けやすいかを認識させ、これを最小限に抑える方法を見つけて、攻撃対象領域がいつ、どのように変化し、それがリスクの観点からどのような意味があるかに注意することです。
• Webアプリケーション侵入テスト：次の3フェーズプロセスを使用してWebアプリケーションを評価します。偵察：ここではセキュリティチームがオペレーティングシステム、サービス、使用中のリソースなどの情報を検知します。検出：ここではセキュリティアナリストが、脆弱な認証情報、開いているポート、パッチが適用されていないソフトウェアなどの脆弱性を特定しようとします。エクスプロイト：ここでは、検出された脆弱性を利用して、チームが機密データへの不正アクセスを行います。

アクター、戦術、ターゲットの把握

オープンソースデータは、攻撃の背後にいるアクターを把握するための包括的な脅威インテリジェンス機能の一部として、サイバーセキュリティチームが活用するさまざまなデータの1つです。

脅威インテリジェンスとは、脅威アクターの動機、ターゲット、攻撃の振る舞いを理解するために収集されたデータが分析されるプロセスのことです。脅威インテリジェンスには、オープンソースデータの使用が含まれ、これを、内部テレメトリ、ダークウェブから収集されたデータ、その他の外部ソースなどのクローズドデータソースと組み合わせて、脅威の状況の全体像を捉えます。

通常、オープンソースデータには、セキュリティチームにとって意味のあるデータにするために必要な、重要なコンテキストが欠けています。例えば、公開掲示板への投稿はそれ自体では、サイバーセキュリティチームにとって有用な情報をもたらさない可能性があります。ただし、より広範な収集と脅威インテリジェンスのフレームワークのコンテキスト内でこのアクティビティを見ることで、アクティビティを既知の攻撃者グループに帰属させることができるため、この特定の脅威アクターから組織を防御するために使用できるプロファイルに詳細性と具体性を与えることができます。

OSINT：双方向的関係

オープンソース情報は誰で使用できます。つまり、サイバーセキュリティ専門家やインテリジェンスコミュニティが簡単にアクセスできるのと同様に、脅威アクターおよび攻撃者グループも、それらにアクセスして悪質な目的に使用できることになります。

サイバー犯罪者がOSINTを利用する最も一般的な理由の1つがソーシャルエンジニアリングです。サーバー犯罪者は多くの場合、フィッシング攻撃のカスタマイズに使用できる個人のプロファイルを作成するために、ソーシャルメディアのプロファイルやその他のオンラインアクティビティを通じて被害者候補の個人情報を収集します。OSINTは検知回避にも利用される可能性もあります。例えば、公開されているインテリジェンスを確認することで、脅威アクターは組織が防御ラインを張る可能性のある場所を把握し、別の攻撃方法を探すことができます。

ハッカーが使用する別の一般的な手法は、Googleハッキングであり、Googleドーキングと呼ばれることもあります。Googleのハッキングでは、Googleの検索エンジンとアプリケーションを使用して、システムの脆弱性や機密情報を特定する非常に具体的なコマンド検索を実行します。例えば、サイバー犯罪者は、「機密だが未分類の情報」というフレーズを含むドキュメントのファイル検索を実行できます。ツールを利用して、Webサイトのコードにおける設定ミスやセキュリティギャップをスキャンできます。これらの脆弱性は、その後、将来のランサムウェアやマルウェアのエントリポイントとして悪用される可能性があります。

攻撃者は、本質的に信頼性の低いオープンソースデータを含む偽のWebサイトのネットワークを設定してGoogle検索に影響を与えることでも知られています。攻撃者は、この誤情報を流布することで、Webクローラーや閲覧者を欺いたり、マルウェアを配布させたりします。

OSINTの手法

おそらくOSINTに関連する最大の課題は、日々増えている驚異的な量の公開データを管理することです。人間がこれほど多くの情報を管理することはおそらく不可能であるため、組織はデータの収集と分析を自動化し、マッピングツールを活用してデータポイントをより明確に視覚化して接続する必要があります。

OSINTツールは、機械学習と人工知能の助けを借りて、OSINTの担当者が大量のデータを収集し保存できるように支援します。これらのツールはまた、さまざまな情報間で重要なリンクとパターンを見つけることもできます。

さらに、組織は、収集するデータソースを定義する明確な基礎戦略を策定する必要があります。これにより、価値が限られている情報や信頼性に疑問のある情報によってシステムが過負荷になることを回避できます。そのために、組織は、オープンソースインテリジェンスに関連する目標と目的を明確に定義する必要があります。

OSINT収集手法

オープンソースインテリジェンスの収集は、大まかに受動的収集と能動的収集の2つのカテゴリーに分類されます。

1. 受動的収集は、利用可能なすべてのデータを簡単にアクセスできる1つの場所にまとめます。脅威インテリジェンスプラットフォームは、機械学習 (ML) と人工知能 (AI) の助けを借りて、このデータの管理と優先順位付けを支援できます。また、組織で定義されたルールに基づいて一部のデータポイントを無視することもできます。
2. 能動的収集では、さまざまな調査手法を使用して特定の情報を識別します。能動的データ収集は、受動的データツールで識別されたサイバー脅威プロファイルを補完したり、その他の方法で特定の調査をサポートしたりするために、アドホックで使用できます。一般的に知られているOSINT収集ツールには、特定のドメインの所有者を識別するためのドメインまたは証明書登録の検索が含まれます。パブリックマルウェアサンドボックスを使用してアプリケーションをスキャンすることは、OSINT収集のもう1つの例です。

OSINTフレームワーク

サイバーセキュリティ専門家が活用できる膨大な公開情報がありますが、それらのOSINTデータがさまざまなソースに分散しているため、セキュリティチームが重要なデータポイントを抽出することが困難になっている可能性があります。また、OSINTアクティビティを通じて収集された価値の高い関連情報を、サイバーセキュリティツールやシステムに統合することが重要になります。

OSINTフレームワークとは、セキュリティチームが攻撃者またはそのアクションに関する情報を迅速かつ正確に特定できるように、データ、プロセス、方法、ツール、および手法を統合する方法論です。

OSINTフレームワークは次の目的に使用できます。

• 既知の脅威のデジタルフットプリントを確立する
• 攻撃者のアクティビティ、関心、手法、動機、習慣に関して入手可能なすべてのインテリジェンスを収集する
• ソース、ツール、方法、または目標でデータを分類する
• システム推奨事項を通じて既存のセキュリティポスチャを強化する機会を特定する

オープンソースインテリジェンスの問題

OSINTは、あらゆる種類の脅威から組織や社会を保護するために、諜報機関、国家安全保障チーム、法執行機関によって定期的に利用されています。

ただし、前述のように、OSINTは、サイバー犯罪者やその他の脅威アクターによって悪質な理由で同じように簡単に利用されます。さらに、OSINTは近年、パブリックドメイン内の情報を安全かつ確実に使用する方法について議論を巻き起こしています。最も一般的な問題には、次のようなものがあります。

適法性

公開されている情報へのアクセス、分析、配布は完全に合法です。誤解を招くデータや悪質なデータを特定のコミュニティに埋め込むことにより、攻撃者がこれを使用して、違法行為をサポートまたは促進できることに留意してください。特にハクティビストはデータを公開し世論に影響を与えることで知られています。

倫理観

多くの情報をオンラインで使用できますが、人々や企業はこのような情報を倫理的に使用する必要があります。OSINTを使用する場合、担当者は、これが正当な目的で使用され、他者に対してエクスプロイト、嫌がらせ、排斥、または危害を加えるために情報が使用されていないことを確認する必要があります。

プライバシー通知

私人に関する驚くほど大量の情報をパブリックドメインで利用できます。ソーシャルメディアプロファイル、オンラインアクティビティ、公的記録、その他のソースからの情報をつなぎ合わせるときに、ある人の習慣、関心、振る舞いの詳細なプロファイルを作成することが可能です。個々の消費者について入手可能なデータの多くは、消費者自身が共有したものですが、多くの場合、そのようなアクティビティの影響を十分に理解せずに共有しています。消費者がサービスを利用したり、店舗を訪れたり、オンラインで対話したりするときに、ブランドや企業がどのような情報を収集して保存できるか、そして将来その情報をどのように活用できるかの議論が盛んに行われています。