【ブックレビュー】OSINT実践ガイド

毎年恒例、「ITエンジニア本大賞」。このニュースを聞くと、もう1年も終わりかと遠い目になります(–;)

https://www.shoeisha.co.jp/campaign/award/

今年はやはり生成AI、LLMの本が多いですね。僕も実家に新しいPCを買った時に、Google Geminiを親に教えました。僕の親は今はもうリタイアしていますが日本のコンピュータの普及の歴史と一緒にエンジニアの道を歩んだ人、コンピュータについては同じ年齢の人と比べて詳しいと思います。LLMを使い始めて「恐ろしい時代になった」と言っていました。調べもののスピーディーさが段違いだと。僕もそう思います。

今回は唯一エントリーされているセキュリティに関連する書籍「OSINT実践ガイド」についてのレビューになります。「OSINT」というと聞いたことがない用語でしたが、「オシント」と読み、Open Source Intelligence の略です。一般に公開されている情報源からアクセス可能なデータを収集、分析し、意思決定に役立てるための諜報活動の一種です。この情報源は攻撃側も同じ情報を持っており、攻撃に利用しようとします。まさに「敵を知る」こともできるでしょう。敵を知れば敵がどのように攻撃してくるかを予測することができ、防御一辺倒だった状況から「この攻撃が我々に対して行われるかもしれない」と、自分達で能動的にセキュリティを強化する「攻めのセキュリティ」を行うことができます。

インテリジェンスとは元々軍事用語です。余談ですが、セキュリティの世界では最高のセキュリティが求められる軍事から転用された用語が少なくありません。様々な「データ」を意味のある「情報」としたうえで、その情報を分析し、自分達の意志判断の手助けとなるモノを「インテリジェンス」と言います。情報をインテリジェンスにすることは簡単ではなく、専用のベンダー（インテリジェンスベンダー）もいます。様々なインテリジェンス手法がありますが、OSINTはその中のひとつで、オープンなソースから情報を収集する活動です。かつて第二次世界大戦などでは雑誌や新聞がOSINTの対象でした。現代のデジタルOSINTはGitHub上のソースコードやSNS、Webサイト、脆弱性データベースやPoC（Proof of Concept。”概念実証”とも。公開された脆弱性が実際に悪用できるかどうかを実証するためのプログラムやドキュメント）を利用してインテリジェンスを作成します。

セキュリティの世界では「リスク」の強度は

「外部からの脅威（ハッカーの存在など）」×「内部にある脆弱性（XSSなど）」×「資産価値（クレジットカード情報など）」

で決定づけられます。脅威が脆弱性によって引き起こす事故（未遂も含む）のことを「セキュリティインシデント」と言います。脆弱性は自分達で防ぐことはできますが、脅威はなかなか制御できません。その脅威に対して知識を与え、対応を決定する際に利用するものが脅威インテリジェンスです。脅威情報に何らかの処理・加工を施すことで脅威インテリジェンスとなり、セキュリティ活動に利用できるようになります。その脅威インテリジェンスに役立つOSINTを提供するサイト（本書では「ツール」と呼ばれています）がこの本には多数紹介されています。一部サイトは日本語ですが、多くが英語なので言語の壁を超える必要があります。読んでいると「こういうOSINTを使ってEDRはアンチウィルスや危険サイトURLのデータベースを作っているのだろうな」とイメージでき、学びがあります。以下のようなサイトが紹介されています。

インターネット上のマシンに対してスキャンを行い、結果を公開しているサイトShodanなど
パスワード漏洩チェックサイトHave I Been Pwnedなど
ファイルがマルウェアであるかをチェックしてくれるサイト。Googleが提供しているVirusTotalなど
- ブラウザ上でOSのサンドボックス環境（Windows10やUbuntu）が用意され、実際にファイルを実行した際どういう挙動が起こるか、MITREATT&CKとの連携やプロセスの挙動がビジュアルに表示されるサービスもありました。これは凄い
指定したURLに代わりにアクセスして、スクショや危険性を取得してくれるサービス
脆弱性を日々収集、公開してくれるサイトやセキュリティ関連のニュースサイト
メールアドレスの漏洩チェックサイト
フィッシングサイトで利用されていたドメインやIPアドレス
ドメインの利用履歴。取得しようとしているドメインが過去悪いサイトに利用されていないか（レピュテーションリスク）をチェックできます
Exifデータ(写真の撮影日時やカメラの設定情報、写真場所=GPSに関する情報)の埋め込みをチェックできるサイト
SPF,DKIM,DMARCの状況を確認

podcast「セキュリティのアレ」で出てきた用語も紹介されていて、「あの時会話に挙がってたのはコレだったんだ！」という理解がありました。これら複数のサイトを利用し、情報を組み合わせてインテリジェンスを作ります。例えば自社で新規ドメインを取得しようとした際、過去そのドメインにどのIPアドレスが設定されていたかを確認し、そのIPアドレスがフィッシングサイトのIPアドレスだったかを調べるなどです。これらをサイトをまたいで調べるのはたいへんです。セキュリティエンジニアがが解析する際の補助をしてくれる統合プラットフォーム（AWSのSecurity Hubをイメージすると分かりやすいかもです）を作れるオープンソースもあります。

8オープンソースの脅威インテリジェンス・プラットフォーム2024｜紹介編](https://www.sompocybersecurity.com/column/column/oss-tip-2024-introduction)

本書にはインストール方法も紹介されています。しかし高機能なぶん、必要なインスタンスのスペックがかなり高い。DBもRedisを使うし、お金がかかります。そしてこれらのツールで得た情報をどう扱うかを「戦略的」「戦術的」「技術的」「運用的」観点から説明。

■戦略的インテリジェンス

そのランサムウェアに関して一通り分かっている範囲でのレポートをまとめる
- 5W1H。＋脅威アクターの目的、攻撃対象の業界（＝Where）、どれくらいの被害金額が出ているか
  - What/How 脆弱性対応をする、従業員のパスワードを強化し、多要素認証を導入する、eラーニングを行う

■戦術的インテリジェンス

上記を優先順位、費用、スケジュールを作成

■技術的脅威インテリジェンス・運用脅威インテリジェンス

MITRE ATT&CK戦術のうち、どれかの戦術に着目し、予防措置を行う - OS、アプリのパッチは更新されているか？ - パスワードは強固か？多要素認証はできているか？ - メールアドレスやパスワードの認証情報は漏れていないか？ - 悪用されたIPアドレスからのアクセスは来ていないか？ - eラーニングを実施する

運用には「予防＝受動的アプローチ」と「脅威ハンティング＝能動的アプローチ」がありますが、脅威ハンティングはレベルが高いので、一般的な企業はまずは予防だと思います。

最後に、世界各国で行われているOSINTを活用した事例が紹介されています。政府機関がOSINTをこの本で紹介されているような、あるいはその国がクローズドで保有している情報源を使っていることが示唆されました。中国軍が暗躍している活動も、インターネット上にその痕跡が残っていて、オフィスの場所から、スピアフィッシングに添付されているファイル、IPアドレスレンジまでいろいろ分かっているのですね、驚きです。この記事を書いている2024年11月21日、ロシアがウクライナに大陸間弾道ミサイルを撃ち込んだというニュースがありましたが、ロシアがウクライナに向けて行っているサイバー攻撃に対するパロアルトのレポートも紹介されていました。それによると、先ほど紹介したフィッシングに利用されたIPアドレスリストを回避するために、IPアドレスを次々に入れ替えることで真の送信元を秘匿する技法が使われているとのことです。OSINTはこちら側も使える一方攻撃側も利用可能。当然対策もされます。時系列で見ると、開戦前の2021年時点でウクライナとNATOに対し、ロシア政府が後援している組織によるフィッシング攻撃が行われていたことが判明しました。また、以前このブログでも紹介した認知戦も並行して行われ、国外だけでなく自国民に対しても情報操作を行っています。恐ろしい…。

OSINTとは普段の業務で行っているようなインターネットを利用したセキュリティ情報の収集と活用の意味でした。本書は役立つ情報源と利用方法が多数紹介され、何をするべきかが体系的にまとめられています。インテリジェンスは使ってなんぼ。さっそく日々のセキュリティ業務に組み込んでみましょう。