OSINT について考える:企業のセキュリティ保護に適用する理由と方法とは?

How and Why to Apply OSINT to Protect the Enterprise

2022/08/15 DarkReading — あなたは、Strava のような、フィットネスに特化した SNS のファンだろうか?あなただけではなく、軍人でさえも、ランニングの記録/共有を楽しんでいる。しかし、Strava が収集/公開する、彼らのすべての活動量と GPS データは、軍事基地の正確な位置を晒してしまう。現在、インターネット上で公開されている情報の種類を見ると、驚くかもしれない。しかし、私たちが過剰な共有の時代に生きていることを考えれば、驚くことではない。Twitter や自動返信のメールで、休暇の計画を公開している私たちは、実質的に強盗を招いているようなものだ。

セキュリティの専門家たちは、オンラインに公開された情報を OSINT (open source intelligence) と呼んでいる。そして、脅威アクターは、これらの情報を、プロセス/技術/人の脆弱性を特定し、悪用するために利用している。通常、OSINT のデータは、簡単に収集でき、そのプロセスはターゲットからは見えない。そのため、軍事情報機関は、HUMIT/ELINT/SATINT などの OSINT ツールと、それらの情報を使用している 。


OSINT を利用して、ユーザーを保護することも可能だ。しかし、まずは攻撃者が、どのように OSINT を利用するのかを理解し、攻撃対象範囲を十分に把握し、それに応じて防御を強化する必要がある。

OSINT は古くからある概念で、オープンソースの情報は、テレビ/ラジオ/新聞まどを通じて収集されてきた。しかし、今日においては、そのような情報は、インターネット上のいたるところに存在している。

· Facebook/Instagram/LinkedIn などの SNS
· 出会い系アプリのプロフィール
· インタラクティブな地図
· ヘルス/フィットネス・トラッカー
· Censys/Shodan などの OSINT ツール

これらの公開された情報は、友人との冒険の共有/不明な場所の発見/薬の記録/夢の仕事やソウルメイトの発見などに役立つ。しかし、ここには、もう一つの側面がある。つまり、それらの情報は、詐欺師やサイバー犯罪者にとっても同様に、潜在的なターゲット自身には知らないうちに、便利に悪用できるものになっているのである。

たとえば、フライトをリアルタイムで追跡する ADS-B Exchange アプリを悪用し、ターゲットの位置を特定し、邪悪な計画を立てたることも可能なのだ。

OSINT の様々な応用形態を理解する

オープンソース情報の利用は制限されておらず、政府や法執行機関など含む、誰もがアクセス/利用できるものだ。安価かつ簡単にアクセスできる、一般的な情報であるにも関わらず、国家と情報機関が OSINT を使用するのは、正しく利用すれば、優れたインテリジェンスを得られるからだ。また、すべての情報が自由に利用できるため、アクセスや利用を特定の団体に帰属させることも、きわめて困難なものとなる。

過激派組織やテロリストたちは、OSINT を利用して、ターゲットに関するデータを可能な限り収集できる。また、サイバー犯罪者たちも、高度な標的型ソーシャル・エンジニアリング攻撃や、スピア・フィッシングの攻撃を仕掛けるために、OSINT を悪用している。

企業は、競合の分析/市場動向の予測/新しい機会の特定などに、OSINT を活用している。さらに、個人でさえも、さまざまな理由で OSINT を使用することがある。旧友や好きな芸能人について検索するのも、OSINT の1つである。

複数の OSINT 技術を使いこなすには

COVID-19 のパンデミックによる、在宅勤務への移行は避けられないもので、そのプロセス全体を迅速化する必要があった。従来の組織におけるセキュリティ境界線の外で、在宅勤務の従業員に関するデータや、その脆弱性を見つけることは、オンラインで簡単に行える場合がある。

SNS サイト:サイバー犯罪者たちは、ターゲットとなる組織の従業員/副社長/役員などの、個人的な興味/過去の業績/家族の詳細/移動する場所といったデータを収集できる。収集したデータは、スピアフィッシングのメッセージ/電話/メールの作成に利用される。

Google:悪意のユーザーは、 Google を用いて、ルーター/セキュリティ・カメラ/家庭用サーモスタットなどの 、IT/IoT デバイスを特定し、そのブランドや、モデル、デフォルト・パスワードといった情報を検索できる。

GitHub:GitHub で検索すると、共有のオープンソース・コードに含まれるアプリ/サービス/クラウド・リソースの、認証情報/マスターキー/暗号化キー/認証トークンなどが判明する可能性がある。このような攻撃の典型的な例として、Capital One の不正アクセスが挙げられる。

Google hacking:Google dorking とも呼ばれる OSINT 技術は、サイバー犯罪者が高度な Google 検索技術を使用して、アプリのセキュリティ脆弱性/個人に関する特定の情報/ユーザー認証情報などを含む、ファイルの発見を可能にする。

Shodan/Censys:インターネットに接続された、デバイス/産業用制御システム/プラットフォーム向けの検索プラットフォームである。その検索クエリを用いることで、既知の脆弱性を持つ特定のデバイスや、アクセス可能なエラスティック検索データベースなどを見つけ出すことができる。

防衛実践のための OSINT の応用

既に OSINT を使用して、機会の特定や競合他社の研究を推進している企業は、サイバーセキュリティへの OSINT の適用を広げる必要がある。

OSINT ツールの集合体である OSINT Framework は、企業が OSINT の力を活用する際の、きわめて適切な出発点になる。侵入テスト担当者とセキュリティ研究者が OSINT を活用すれば、自由に利用できる潜在的に悪用可能なデータの、発見/収集に役立つ。

Censys/Shodan のようなツールは、主にペンテスト用に設計されている。これらのツールは、企業がインターネットに接続された資産を特定し、保護することを可能にする。

個人データの過剰な共有は、個人と所属する組織にとって問題になる。したがって企業は、安全で責任ある SNS の使用について、従業員を教育する必要がある。従業員のサイバーセキュリティ意識を向上させるトレーニングは、少なくとも半年に1回は実施すべきだ。予告なしのサイバー攻撃やフィッシング・シミュレーションが、これらのトレーニング・ワークショップの一部になる必要がある。

OSINT (open source intelligence) は、とても興味深い領域です。このブログも、OSINT の一部になればと思いながら、運営しているという背景があります。1年強で 1,700本くらいの記事をポストしましたが、このペースが維持できると、数年後には、それなりのナレッジベースになると目論んでいます。アドバイスやアイデアなどがありましたら、Facebook もしくは Twitter で DM をくださ〜い!

%d bloggers like this: