OSINT（Open-Source Intelligence）とは

OSINT（Open-Source Intelligence）の概要からサイバー攻撃での用いられ方、サプライチェーン攻撃対策における役割までわかりやすく解説します。

OSINT（Open-Source Intelligence）とは
サイバー攻撃でのOSINT
サイバー攻撃対策としてのOSINT
サプライチェーン攻撃対策にも「OSINT」は必要
富士通でのOSINTの取り組み
押さえておきたい基礎用語

OSINT（Open-Source Intelligence）とは

近年、セキュリティの分野でもOSINTというキーワードが聞かれるようになりました。OSINTとはオープン・ソース・インテリジェンス（Open-Source Intelligence）の略で、誰もが入手可能である一般公開情報を組み合わせて分析し、活用可能な状態にする手法の呼び名です。もともとOSINTは、軍事/諜報活動における情報収集の手法なのですが、サイバー攻撃においてもOSINTの考え方が用いられる場合があることから、IT分野でも話題となっているのです。本記事ではサイバー攻撃におけるOSINTについて解説します。

サイバー攻撃でのOSINT

冒頭でも述べたように、一般公開されている情報を活用するOSINTが、サイバー攻撃に転用されています。独立行政法人情報処理推進機構（IPA）が公開している「情報セキュリティ10大脅威 2023」によると、組織編の第3位に「標的型攻撃による機密情報の窃取」がランクインしています。これは2022年度も2位にランクインしている項目であり、標的型攻撃が企業を脅かし続けていることが見て取れます。

標的型攻撃とは、不特定多数ではなく、攻撃者が明確に定めた対象に対して行われる攻撃です。そして攻撃前の事前調査に際して、OSINTが活用されている可能性があります。具体的な例を挙げると、セキュリティ分野でのOSINTには、下記のような情報が利用されていると考えられます。

企業の公式Webサイトに掲載されている連絡先や組織図、事業内容
SNS上で全体公開されている、社員の個人情報や連絡先、画像データ
Webサーバの設定ミス等により、外部から閲覧可能となってしまった社内のファイル

これらの情報自体の入手は、知識と技術さえあれば誰でも可能です。そして悪意のある攻撃者は、「本来見えてはならない情報だから、見なかったことにしよう」などという気遣いはしません。それが攻撃に有用な情報であると判断すれば、ためらいなく悪用します。

OSINTを用いた攻撃の一例として、標的型メール攻撃があります。例えば、何かしらの手法でその企業に属する人物の名前や所属、メールアドレスなどが攻撃者の手に渡ったとします。その上で、企業の公開Webサイトから組織情報や取引先情報を集め、メール文面にそれらを埋め込むことで、通常の業務メールに見えるほどの信憑性の高い攻撃メールを作ることもできてしまうのです。また場合によっては、SNSの投稿内容が攻撃者にとって有用な情報源になり得ることも覚えておきましょう。例えば、SNSの投稿時間や写真を元にして、攻撃者が攻撃対象の場所や行動データを推測したり、個人の特定や業務との関連付けをしたりすることも可能です。

サイバー攻撃対策としてのOSINT

ここまでは、OSINTがサイバー攻撃においても利用されていることを述べてきました。ここからは逆に、OSINTを活用したサイバー攻撃対策について解説します。

簡単に行える有効な対策として、検索サイトの検索オプションを使って、定期的に自社サイトを検索するというものがあります。これによって、意図しないディレクトリやファイルがインターネット上から検索可能になっていないかの確認ができます。また意図して公開しているファイルについても、文書のプロパティ内に作成者名やメールアドレスといった、本来公開すべきでない情報が含まれていないか、あわせて確認しておくとよいでしょう。

最近では企業による情報漏洩事件が発生すると、TVやニュースサイトなどで報道されることも増えてきました。こうしたニュースを目にした際に、自社がその影響を受けていないかチェックすることも有効です。例えば自社のインターネットアクセスログから、報道されたサイトへのアクセス状況を調査してみるとよいでしょう。もしも該当するサービスの利用者がいるようであれば、社内への注意喚起を合わせて行いましょう。またそれがアカウント登録が必要なサイトで、パスワードの漏洩が起きているのであれば、他サイトのパスワードを使い回していないかも確認してください。もしもパスワードを使い回していたのであれば、ただちにパスワードを変更するよう周知しましょう。こうしたサイバー攻撃対策も、OSINTを活用した例と言えます。

サイバー攻撃対策にOSINTの活用するメリットは、何より攻撃者と同じ目線に立てるという点です。攻撃者の目線に立った時の脆弱性を潰して行くことで、攻撃がしにくい状態を維持することができます。攻撃にも利用できるOSINTは、防御においても重要なのです。

より深い調査を行いたい場合は、分析ツールの導入や専門の外部ベンダーへ調査を委託するのもよい考えです。OSINTを用いた分析ツールは、すでに複数のベンダーから提供されています。特にセキュリティを専門とする外部ベンダーでは、専門性の高い担当者による分析と、その分析に合わせた対策をセットとしていることもよくあります。自社のみでの対応に不安がある場合には、こうした専門家のサポートを受けられるサービスの利用を検討するとよいでしょう。

サイバー攻撃は、その対象と手法によっては国民生活にも影響を及ぼし得るため、政府も問題視しています。経済産業省ではサイバー攻撃への対策として、ASM（Attack Surface Management）の導入ガイダンスである「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」を公表しています。同省はこの文書において、ASMを「組織の外部（インターネット）からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス」と定義しています。そしてこのASMで用いられる手法が、まさにOSINTなのです。このことからも、サイバー攻撃対策としてのOSINT活用の重要性を見て取ることができるでしょう。

サプライチェーン攻撃対策にも「OSINT」は必要

ここで再度、IPAが公開している「情報セキュリティ10大脅威 2023」を見てみましょう。組織編の第3位に「標的型攻撃による機密情報の窃取」がランクインしていることは先に述べた通りなのですが、それより上位の第2位に、「サプライチェーンの弱点を悪用した攻撃」がランクインしている点も見逃せません。

特定企業に対して、子会社や取引先などの、いわゆる「サプライチェーン」を経由して行われる攻撃を「サプライチェーン攻撃」と呼びます。IPAの同発表によると、この「サプライチェーンの弱点を悪用した攻撃」は、昨年度の第3位でした。ここから、サプライチェーンの弱点を悪用した攻撃は年々脅威を増していることが解ります。セキュリティ対策をそれなりのレベルで実施しているであろう大企業と比べると、子会社や小規模な取引先は、セキュリティレベルが低い可能性が高いのが現実です。そこで攻撃者は、攻撃の足がかりとして子会社や取引先に侵入し、取引メールの偽装や大企業の専用ネットワークへの侵入などを行います。もちろん目的は、対象企業の機密情報を搾取することです。

セキュリティは、弱い部分から狙われる傾向にあります。仮に自社のセキュリティ対策は万全であってもサプライチェーン内に脆弱な部分が一箇所でもあると、そこから攻撃が行われてしまう可能性が否定できません。そのため、サイバー攻撃対策は自社のみではなく、サプライチェーン全体において必要とされているのです。そして、サプライチェーンのセキュリティリスク低減にもOSINTの活用は有効です。OSINTの活用を通じてサプライチェーン全体のセキュリティリスクを低減することは、ひいては自社のセキュリティリスク低減に繋がります。