『OSINT実践ガイド』読書メモ：オープンソースインテリジェンスの基礎

面 和毅; 中村 行宏. サイバー攻撃から企業システムを守る！　OSINT実践ガイド. 日経BP. Kindle 版. を読んだ感想メモ

概要

OSINTとは、Open Source Intelligence（オープンソースインテリジェンス）の略で、公開されている情報源から有益な情報を収集・分析する手法のことです。インターネットや公的なデータベース、ニュース記事、SNSなど、誰でもアクセス可能な情報からインテリジェンスを生成することが主な目的です。OSINTはサイバーセキュリティの分野で特に重要であり、攻撃の予防や対策、リスク管理において欠かせない手法となっています。

OSINTの歴史

OSINTの概念は新しいものではなく、歴史的には情報戦の一部として用いられてきました。例えば、第二次世界大戦中の1941年、CIAの前身であるOSS（Office of Strategic Services）は、OSINTを用いてナチス・ドイツの新型戦艦や航空機の画像を収集していました。これにより、敵の技術や戦力の評価が可能となり、戦略的な意思決定に役立てられました。

現在のOSINT

現代においては、OSINTは主にインターネット上の情報を対象としています。次のような多岐にわたる情報源からデータが収集されます。

• ウェブサイトやニュース記事: 一般公開されている情報源。
• ソーシャルメディア（SNS）: Twitter、Facebook、Instagramなど、個人や組織が情報を発信するプラットフォーム。
• GitHubなどのコード共有サイト: ソースコードやプロジェクトの進捗状況が公開されている。
• 脆弱性データベース: CVEやNVDといった、既知の脆弱性情報が集約されているデータベース。
• ゼロデイ攻撃に関する情報: 未知の脆弱性を狙った攻撃についての公開情報。

OSINTの調査方法

データソースの見つけ方

OSINT調査を行う際には、目的に応じたデータソースを見つけることが重要です。以下のツールやリソースは、OSINTのデータソースを探索する際に役立ちます。

• OSINT Framework: 様々なOSINTツールや情報源へのリンク集。
• MITRE ATT&CK: サイバー攻撃のライフサイクルと、それに関連する戦術や技術のリソース。
• Mapping Tools for Open Source Intelligence with Cyber Kill Chain for Adversarial Aware Security: サイバーキルチェーンとデータソースのマッピングに関する論文。

便利ツール

以下のツールは、OSINT調査を支援するために広く利用されています。

• Shodan: インターネットに接続されたデバイスの検索エンジン。デバイスのセキュリティ状況を確認可能。 Shodan
• Censys: インターネット上のデバイスとサービスを調査するためのプラットフォーム。 Censys
• Have I Been Pwned: メールアドレスの漏洩をチェック。 Have I Been Pwned
• VirusTotal: ファイルやURLをスキャンしてマルウェアの有無を確認。 VirusTotal
• Aguse: Webサイトのレピュテーションを調べる。 Aguse
• Exploit Database: 公開されているエクスプロイト情報のデータベース。 Exploit-DB
• SecurityTrails: ドメインやIPアドレスの利用履歴を確認。 SecurityTrails

その他の重要リソース

脆弱性情報収集

• NVD: National Vulnerability Databaseは、米国政府が提供する脆弱性情報のデータベース。 NVD
• JVN iPedia: 日本の脆弱性データベース。 JVN iPedia
• Vulmon: グローバルな脆弱性情報を提供。 Vulmon

SSL/TLSの強度確認

• SSL Labs: サーバーのSSL/TLS設定の強度をチェック。 SSL Labs

その他の調査ツール

• Anymail Finder: メールアドレスの漏洩状況を確認。 Anymail Finder
• MaxMind: IPアドレスの地理的情報を調査。 MaxMind
• Wigle: WifiネットワークのSSID情報を収集。 Wigle
• BuiltWith: ウェブサイトで使用されている技術を確認。 BuiltWith
• Phishtank: フィッシングサイトを報告・検証するためのリソース。 Phishtank

諸外国のOSINT活動事例

中国のAPT1に関するレポート (Mandiant)

Mandiantが発表したレポートでは、中国のAPT1（Advanced Persistent Threat 1）、別名「61398部隊」として知られるグループに関する詳細な調査結果が示されています。このレポートでは、中国の人民解放軍総参謀部GSD第3部第2局との関係が特定されており、APT1の以下のような活動が明らかにされました。

• 専門範囲の特定: APT1が主にどのような分野や業界をターゲットにしているかが分析されました。特に、軍事、エネルギー、通信、金融などの分野がターゲットとされていました。
• オフィス・インフラの詳細: 61398部隊のオフィスの所在地や内部構造、通信手段、技術的なインフラストラクチャが詳細に特定されました。
• 攻撃対象と攻撃方法の特定: APT1が使用した攻撃手法、特にフィッシングメールやマルウェアの展開方法についても明らかにされました。これにより、どのような情報が狙われていたか、そしてその目的が何であったかが理解されました。