セキュリティ業務におけるOSINT活用術

11月 28, 2021
カテゴリー: OSINT

OSINTってなんだろう

「OSINT」という言葉を耳にするが、どのように活用したらよいか、メールアドレスを探す方法やIPアドレスについて調べるベストなツールが知りたい、というセキュリティエンジニアの方は多いのではないでしょうか。

この記事では特にセキュリティ分析業務にOSINTをどう活用できるのか、また、セキュリティ関連資格(CISSP、情報処理安全確保支援士、CEH、SPREDマイスター等のホワイトハッカー資格)にも役立つ、OSINT活用シーンと最近のトレンドを紹介していきます。

OSINTについての理解

OSINT(オープンソースインテリジェンス)の「オープンソース」とは、合法的に入手できるあらゆる情報を指します。また、インテリジェンスとは、集めた情報を目的に沿って分析・加工することを指します。Webサイトやツールではなく、そのようなプロセスを、OSINTといいます。ある対象についての諜報(スパイ)活動や身辺調査を行うことを指します。

この記事では特にITセキュリティの観点で記載しますが、一般的なビジネスの中でも、ライバル他社の情報を収集して分析するという作業はOSINTです。またRadarBox.com というサイトでは全世界の航空機がどこを飛んでいるかを見ることができたり、Google Scholerで世界中の論文を検索できたりするのも、OSINTの一種と言えます。

OSINT Landscape (下図) にあるように、様々な便利ツールが公開されています。定番ツールである Shodan では公開されているIoT機器を探すことができ、アクセス制限されていないWebカメラの画像も見ることができます。また、2021年に話題になった、Pulse Secure VPN脆弱性や、 Exchange ServerのProxyLogon脆弱性などの分析などに活用することができます。

OSINT Landscape より引用

セキュリティオペレーション業務への活用シーン

これらのツールを、企業のセキュリティ担当者の防御対策にどう活用すればよいのでしょうか。リスクマネジメントにおける管理策(コントロール)ごとに、下記のような活動につなげることができます。

  • 予防的コントロール:リスク発生の未然防止に役立てる。攻撃者の発想でOSINTを行うことで、自社の弱点(脆弱性)を見つけ、除去する。
  • 発見的コントロール:リスク発生(攻撃、侵害)を速やかに検出する。
  • 訂正的コントロール:発生したリスクに対して、被害を最小限に食い止め、速やかに元の状態に復元する。

表:セキュリティ管理策ごとのOSINTツール

一般的に、予防的コントロールの段階が最も費用対効果が高く、訂正的コントロールが費用対効果が低くなります。セキュリティ対策への効果という意味では予防へのリソース投入が重要になります。

定番OSINTツール

上図の中でも、セキュリティ分析によく使われる定番ツールとして、有名なものを紹介します。

  • Shodan:インターネットに接続されたIoTデバイスのIPアドレス、公開されているポートやバグ情報を検索できるサイト。
  • VirusTotal:マルウェアのハッシュ値、URL、ファイル名についてレピュテーション情報をデータベースから検索できるサービス。またファイルをアップロードするとサンドボックスで分析してくれる。マルウェア検体の簡易チェックに利用可能。
  • Maltego:人、ドメイン、企業などのコンテキスト情報を一括で検索。
  • WHOIS:DNSインターネットレジストリが管理する登録情報の検索
  • Pastebin:テキスト情報共有サイト。メールアドレス、ID/パスワード情報の漏洩など。

OSINT統合ツールセット

最近では上記の定番サイトを含む複数のツールを横断的に利用できる、統合ツールセット(フレームワーク)も利用可能になってきています。いくつか紹介します。

  • Spiderfoot :100以上の公開データソースに自動的に問い合わせ、IPアドレス、ドメイン名、メールアドレス、名前などの情報を収集する偵察ツール
  • Kali Linux:約600個のペネトレーションテスト用プログラム(ツール)がプリインストールされているLinuxディストリビューション
  • Metasploit:Exploitコードの作成や実行を行うためのフレームワーク、ペネトレーションテストに広く使われており、Kali Linuxにも収録されている
  • Recon-ng 組み込みモジュールで拡張できる偵察ツールキット

Netlas.ioは2021年5月にリリースされたツールで、柔軟な検索ができることで話題になっています。IP アドレス、ドメイン名、Web サイト、Web アプリケーション、IoT デバイス、およびその他のオンライン資産に関する正確な技術情報を検索できるツールです。下記はCVEスコア9以上かつ”Microsoft Azure”を含むサイトを検索した例ですが、日本国内でも15,000サイトあまりが抽出されました。

図:Netlas.ioによる検索結果

OSINTツールのまとめサイト

新しいツールや情報が日々アップデートされているので、情報源として比較的有名なサイトのリンクをあげておきます。

利用時の注意点

マルウェアやC&CサーバのURLなど、危険な情報を扱うため、素人はヤケドすることもあります。ツールの利用時は次の点に注意して活用ください。

  • 漏洩したIDパスワードを入手したからといって、それを使ってシステムへの目的外のログインをした場合、不正アクセス防止法に抵触する場合がある。
  • 脆弱性スキャンツールを他人のサーバに対して実行しない。
  • ダークウェブを使用する際は使い捨てEmailアドレスを用意する。
  • マルウェア感染のリスク、調査する端末環境は隔離された専用端末を使う。
  • 高いスキルがある人は、攻撃者組織の高額な求人に誘惑されるかもしれない。正義感、倫理観をもち、反社会的なことに加担しない。

まとめ

役に立ちましたでしょうか。これらのツールを活用し、皆さんの業務においても作業の効率化、情報セキュリティの向上につながると幸いです。