OSINTの基礎を理解する

「OSINTの基礎を理解する」

AIが「脆弱性を見つける力」を人間のトップ研究者レベル、あるいはそれ以上に近づけつつあり、中小企業やスタートアップも今すぐ防御体制を変える必要が出てきました。日々のセキュリティ業務を行っている企業の管理者やエンジニアの方は、これまでのように攻撃に対して受け身の姿勢で臨むのではなく、脅威インテリジェンスに基づく「攻めのセキュリティ」を実践できるように、OSINTに関する知識を基礎から学び、企業のセキュリティを高めていきましょう。

インテリジェンス

OSINT（Open Source Intelligence）とは、「オープンソースから情報を取ってきてインテリジェンスに用いる」手法の事です。元々は軍事用語から来ています。OSINTにおけるインテリジェンス（Intelligence）とは、単なる「データ収集」にとどまらず、「収集した情報をどう活かしていくか」という活用や提案までを含めたものを指します。

具体的には、以下のようなプロセスや視点がインテリジェンスの本質となります。

• データ収集との違い：誰でも入手できるオープンな情報を集めるだけでは「データ収集」に過ぎませんが、その情報を分析し、具体的なアクションに繋げることで初めてインテリジェンスとなります。
• 予測と備え：公開されている情報を元に、自社がどのような危険に晒されるかを予測し、先手を打って防御を固める（パッチの適用や社員教育など）ために活用されます。
• 判断の提供：収集した情報に優先順位をつけ、攻撃に備えるための意思決定や提案を行うプロセスが含まれます。

他のインテリジェンスとの違い

1. HUMINT（Human Intelligence） 
   • 情報源：「対人関係」を利用して得られる情報です。
   • 特徴：古くから用いられてきた手法で、対象となる人物に物理的に接触して情報を得ます。
   • 例：ターゲット企業のコミュニティに参加して情報を聞き出す、偽の求人活動を行って社員から情報を引き出すといった活動が含まれます。
2. SIGINT（Signals Intelligence）
   • 情報源：「電子的な信号」から収集した情報です。
   • 特徴：電話、無線、GPS、Wi-Fiなどの通信を傍受・分析します。
   • 例：電話の盗聴、無線LANの暗号を解読して通信内容を傍受するなどの活動です。収集方法が違法となる可能性が高く、高度な技術が必要とされます。
3. GEOINT（Geospatial Intelligence）
   • 情報源：「地理・位置・画像」に関する情報です。
   • 特徴：衛星画像、航空写真、地図、GPS情報、地形データ、施設の位置情報などを分析します。
   • 例：衛星画像から軍事施設や港湾施設の変化を確認する、地図情報とSNS投稿を組み合わせて企業拠点、データセンター、通信設備、外部公開資産の位置関係を整理する場面でも応用されます。
4. MASINT（Measurement and Signature Intelligence）
   • 情報源：対象から発生する「物理的な特徴・測定値・シグネチャ」です。
   • 特徴：レーダー、赤外線、音響、振動、電磁波、化学物質、放射線などをセンサーで計測し、対象物や現象の特徴を分析します。
   • 例：ミサイル発射時の熱源や赤外線反応を検知する、潜水艦の音響パターンから種類を推定する、レーダー反射の特徴から航空機や車両を識別する、爆発や化学物質の痕跡をセンサーで分析するなどがあります。
5. SOCMINT（Social Media Intelligence）
   • 情報源：SNSやソーシャルメディア上に投稿された情報です。
   • 特徴：X、Facebook、Instagram、TikTok、LinkedIn、YouTube、掲示板、コメント欄などに投稿された文章、画像、動画、プロフィール、交友関係、位置情報、ハッシュタグ、反応の傾向などを収集・分析します。
   • 例：攻撃者グループのSNS投稿を監視する、企業社員の公開プロフィールから標的型攻撃に悪用されそうな情報を確認する、フィッシングに使われる偽アカウントを発見する、情報漏えいにつながる投稿や画像を調査する、といった使い方があります。
   • 注意点：公開情報であっても、個人の行動監視や過度なプロファイリングはプライバシー侵害になり得ます。特に個人を特定する調査では、法令・利用規約・社内ルールに従う必要があります。
6. DARKINT（Dark Web Intelligence）
   • 情報源： ダークウェブ、地下フォーラム、犯罪系マーケット、ランサムウェアグループの公開・半公開ページなどの情報です。
   • 特徴：通常の検索エンジンでは見つけにくい場所にある、サイバー犯罪・不正取引・漏えい情報・攻撃ツール・脆弱性悪用情報などを調査します。
   • 例：自社ドメインのメールアドレスや認証情報が流出していないか確認する、ランサムウェアグループのリークサイトに自社・取引先名が出ていないか監視する、地下フォーラムで売買されている初期アクセス情報や脆弱性情報を調査する、攻撃者が使うツールやTTPsを把握するなどがあります。
   • サイバー分野での例: 漏えいアカウントの早期発見、ランサムウェア被害の兆候把握、攻撃キャンペーンの予兆検知、初期アクセスブローカーが販売しているVPN・RDP・クラウド認証情報の監視、ブランドなりすましやフィッシングキットの発見などに使われます。
   • 注意点：ダークウェブ上には違法コンテンツや犯罪取引が含まれるため、調査には強い法的・倫理的リスクがあります。自分で不用意にアクセスするより、業務では専門ベンダーの脅威インテリジェンスサービスや法務・SOC・CSIRTの承認された手順を使うのが安全です。

CSINT（Closed Source Intelligence）

OSINTは100年以上使われてきた手法であり、今後も廃れる可能性は低いです。
一方で、OSINTはあくまで「公開情報」を基にした分析であるため、非公開情報にはアクセスできず、理論上の限界があります。

そのため近年では、公開情報を扱う OSINTに加え、非公開・限定的な情報源を扱う CSINT（Closed Source Intelligence） という考え方も出てきています。

商用の脅威インテリジェンスサービスでは、OSINTだけでなくCSINTも組み合わせることで、より広範囲で実用的なインテリジェンスを提供しています。

本日はここまでにしましょう。