OSINTって何?

今回取り上げるテーマは「OSINT」です。例によってこれも英単語の頭文字をとった用語で、「Open Source INTerigence」(オープンソースインテリジェンス)の略になります。

オープンソースというと、例えばLinuxのような一定の規約に則っていれば無償で利用可能なソフトウェアであるOSS(Open Source Software)を思い浮かべる方もいるかもしれませんが、この場合のオープンソースは意味が異なり、「誰でもアクセス可能」といった意味合いになります。

そして、インテリジェンスとは、知識と翻訳されることが多いですが、情報、すなわちインフォメーションを分類・整理・分析することによって得られる知見です。

つまり、OSINTとは、誰でもアクセス可能な情報源から情報を引っ張ってきて、それを分析する一連の行動のこと、またはその分析された結果の知見そのものを指します。

誰でもアクセス可能というと、インターネットが思いつくと思いますが、インターネットはOSINTにおける主要な情報源のひとつです。企業や組織が公開しているWebサイトであったり、個人が構築しているブログなども同様です。

また、昨今ではSNSも欠かすことができない情報源です。リアルタイムにさまざまな情報が飛び交うSNSが普及しているおかげで、現在OSINTが注目されているともいえます。

それ以外では、一般に流通している書籍や、学術論文、新聞、テレビなどもOSINTの情報源です。

OSINTは近年サイバーセキュリティの活動の中で注目されていますが、特段新しい概念というわけではありません。過去の戦時中などは、スパイが敵国に侵入するなどして、公開されている産業に関係する統計情報をみて国力を推し量ったり、新聞の記事を読んで、国民の士気を確認したりなど、さまざまな目的で使われてきました。

なぜセキュリティでOSINTが活用されるのか?

さて、ここからはなぜ現代のサイバーセキュリティにおいてOSINTが活用されるのかを見ていきましょう。

その理由はいくつかありますが、まずは攻撃者が活用していることがあるためです。

攻撃者はサイバー攻撃をとある組織に対して行おうと考えた場合に、いきなり攻撃することはありません。必ず偵察と呼ばれる行為を行い、入念に相手のことを調べ上げます。公開情報から得られる知識は、想像以上に多く、例えば対象組織の公式サイトからは、人事情報であったり、組織図、取引先情報、ドメイン名、財務状況が得られます。

経営陣の氏名は公開されていることが多いですので、重要な情報を握っていると思われるターゲットの目星をつけることが可能です。例えばフィッシング攻撃をかけるなどの攻撃を行うことは容易に想像できますが、その際に取引先情報を悪用して、よりターゲットが関心を持ちやすい話題、すなわちフィッシングメールであれば開封しやすい話題を組み立てることが可能になります。

また、組織によっては技術ブログのような記事を載せていることもあります。ここで不用意に、使用しているソフトウェアの情報を記載してしまったり、システムの構成が推定できる資料を掲載してしまうと、不正アクセスを行うためのハードルが下がり、攻撃される危険性が高くなったしまいます。

SNSのアカウントが紐付けできる場合は、話は更に厄介になります。趣味のような一見関係ないと思われる情報でも、パスワードを推測するための材料となったり、写真に映っている風景から自宅や社屋などの場所を特定されかねまさん。これも危険な情報になり得ます。

このように、公開情報からサイバー攻撃の糸口を見つけることができるため、攻撃者はOSINTを活用しているのです。

そして、攻撃者が活用するということは、防御側もそれを想定して対処する必要があります。

自分たちでOSINTを活用することにより、余計な情報が露出していないかどうか、攻撃者に先んじて確認することにより、安全性を保つ活動をする必要があるのです。

また、攻撃に使われるマルウェアの流行り廃りや、特定の業界を狙った攻撃が盛んに行われている、といった情報を入手した場合には、組織内で注意喚起をするなど、即応することもできるようになるでしょう。

このように、防御側にとってもOSINTは重要な活動だといえるのです。

信頼性の確認が重要

さて、OSINTの重要性は理解いただけたと思いますが、ここで大事なことは、情報源の信頼性を常に意識するということです。

SNSを含むインターネット情報は、GoogleやBingといった検索エンジンで簡単に検索することができますが、常にそれが正しい情報だとは限りません。中にはフェイクニュースのような、恣意的に偽の情報を拡散させるケースも散見されるため、注意が必要です。

書籍や学術論文については、比較的信頼性が高いと言えますが、ネット上の情報は特にファクトチェックを行います。そうしないと、意味のない対策をしてしまい、手間が余計にかかってしまったり、時にはそれが逆効果になることさえありえます。簡単に入手できる情報であるがゆえに、きちんとその真偽を確かめることが求められます。

まとめ

サイバー攻撃者は、公開された情報を悪用して、攻撃に活用してきます。それに的確に対処していくためには、防御側もOSINTを活用して先回りをしていく、といった活動が必要になります。

近年のサイバー攻撃対策においてはスピード感が非常に重要です。迅速な情報収集を行い、警戒すべき情報を得た場合には、その信頼性を確認した上で、適切な対策が取れるような体制を準備しておきましょう。

一般