OSINT(オシント)とは、オープンソース・インテリジェンスの略称で、脅威を評価し、意思決定を行い、特定の質問に答えるために、一般に入手可能な情報を収集・分析するプロセスのことです。
多くの組織は、セキュリティー・リスクを評価し、ITシステムの脆弱性を特定するために、サイバーセキュリティー・ツールとしてOSINTを使用しています。サイバー犯罪者やハッカーは、ソーシャル・エンジニアリング、フィッシング、サイバー攻撃の標的の特定にOSINT手法も使用します。
サイバーセキュリティー以外にも、警察活動、国家安全保障、マーケティング、ジャーナリズム、教育機関向けの研究などの分野でもオープンソース・インテリジェンスを活用する場合があります。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
第二次世界大戦にさかのぼれば、諜報機関では高度な訓練を受けたエージェントが、ラジオ放送や新聞、市場の変動などの一般公開(オープンソース)情報を監視してきました。今日、簡単にアクセスできるデータ・ソースの数と種類を考えれば、ほとんど誰でもオープンソースの情報収集に参加することができます。
OSINT研究者がデータ・ポイントを収集する公開ソースには、次のようなものがあります。
Google、DuckDuckGo、Yahoo、Bing、Yandexなどのインターネット検索エンジン
新聞、雑誌、ニュースサイトなどの印刷物およびオンラインのニュース媒体
Facebook、X、Instagram、LinkedInなどのソーシャル・メディア・アカウント
オンライン・フォーラム、ブログ、インターネット・リレー・チャット(IRC)
ダークウェブは、検索エンジンによってインデックス化されないインターネットの暗号化された領域です。
電話番号、Eメール・アドレス、住所などのオンライン・ディレクトリー
出生、死亡、裁判書類、ビジネス・ファイルなどの公文書
官公庁・自治体の記録:地方、州、連邦/国の官公庁・自治体が発行した会議の議事録、予算、スピーチ、プレスリリースなど。
論文、学位論文、ジャーナルなどの学術研究
技術データ:IPアドレス、API 、オープン・ポート、Webページのメタデータなど。
ただし、OSINTソースからのデータ収集を開始する前に、明確な目的を確立する必要があります。一例として、OSINTを使用するセキュリティ専門家はます、明らかにしたいインサイトと、望ましい結果をもたらす公開データを判断します。
公開情報を収集した後、それを処理して不要なデータや冗長なデータを除外する必要があります。その後、セキュリティー・チームは、精選したデータを分析し、実用的なインテリジェンス・レポートを作成できます。
脅威アクターは、コンピューター・ネットワークの脆弱性を悪用できる機密情報を見つけるために、OSINTを多用します。
こうした機密情報には、ソーシャル・メディアや企業のWebサイトで簡単にアクセスできる、組織の従業員、パートナー、ベンダーに関する個人情報などが含まれます。あるいは、Webページやクラウド・アプリケーションのソースコード内に存在しうる資格情報、セキュリティー・ギャップ、暗号化キーなどの技術情報も該当します。データ侵害によって盗まれたログイン情報やパスワードなど、危険にさらされる情報を公開する公開Webサイトも存在します。
サイバー犯罪者は、この公開データをさまざまな不正な目的に使用できます。
たとえば、ソーシャル・ネットワークの個人情報を使用して、読者に悪意のあるリンクをクリックするように仕向けたフィッシング・メールを作成するかもしれませんまたは、Webアプリケーションのセキュリティー上の弱点をさらす特定のコマンドを使用してGoogle検索を実行します。いわゆる「Googleドーキング」と呼ばれる手法です。また、サイバーセキュリティー防御戦略を説明した企業の公開資産を確認した後、ハッキングの試行中に検知を回避することも考えられます。
このような理由から、多くの組織は、システム、アプリケーション、人材に関連する公開情報ソースのOSINT評価を実施しています。
この調査結果は、専有データや機密データの不正漏洩の特定、情報セキュリティーの評価、パッチが適用されていないソフトウェア、構成ミス、オープン・ポートなどの脆弱性の特定に使用できます。組織は、サイバー犯罪者やハッカーが公開している同じOSINTデータを使用して、システムやネットワークの ペネトレーション・テストを実施する場合もあります。
多くの場合、OSINT評価中に取得した情報は、非公開データと合わせてより包括的な脅威インテリジェンス ・レポートの作成に使用されます。OSINTによるサイバーセキュリティー評価を頻繁に更新することで、組織はデータ侵害、ランサムウェア、マルウェア、その他のサイバー攻撃のリスクを軽減できます。
入手可能な公開情報は膨大な量にのぼることから、OSINTデータを手動で収集、分類、分析することはしばしば現実的ではありません。専用のオープンソース・インテリジェンス・ツールを使用すると、OSINTのさまざまなユースケースにおけるデータ・タスクを管理し、自動化できます。
一部のOSINT分析ツールは人工知能と機械学習を使用して、どの情報に価値と関連性があり、どの情報が重要でないかまたは無関係であるかを検出します。より一般的なOSINTツールには次のものがあります。
Osintframework.com:開発者用プラットフォーム、GitHubでホストされている無料のオンラインOSINTツールと参考情報の広範なディレクトリー。ハッカーもサイバーセキュリティー専門家も、このディレクトリーを出発点として使用して、OSINTツールに求める特定の機能を詳しく調べることができます。
Maltego:データ・パターンと接続の視覚的な表現を作成する、Windows、Mac、Linux プラットフォーム向けのリアルタイム・データマイニング・ソリューション。個人のオンライン活動をプロファイリングして追跡する機能を備えたこのツールは、サイバーセキュリティーの専門家と脅威アクターの双方が活用できるものです。
Spiderfoot:Eメールアドレス、電話番号、IPアドレス、サブドメインなどの情報を統合するデータソース統合ツール。倫理的なハッカーがこのリソースを使用して、組織または個人に脅威をもたらす可能性のある公開情報を調査することもあります。
Shodan:メタデータや開いているポートの情報を提供できる、インターネットに接続されたデバイスの検索エンジン。このツールは何百万台ものデバイスのセキュリティー脆弱性を特定できるため、サイバーセキュリティーの専門家にとってもサイバー犯罪者にとっても有用です。
Babel X : 200 以上の言語でワールド・ワイド・ウェブとダーク・ウェブを検索できる、多言語対応・AI対応の検索ツール。組織内のセキュリティー・チームはこのツールを使用して、ダークウェブや海外に投稿されている可能性のある機密情報や専有情報を検索できます。
Metasploit : アプリケーションのセキュリティ上の脆弱性を特定できる侵入テスト・ツール。サイバーセキュリティーの専門家もハッカーも、サイバー攻撃を成功させる可能性のある特定の弱点を明らかにできるため、このツールに価値を見出しています。