1. 情報セキュリティブログ ホーム
  2. 辻 伸弘のセキュリティ防衛隊
  3. 第3回 「公開情報」からここまで分かる!? オープン・ソース・インテリジェンス(OSINT)について聞いてみた
このエントリーをはてなブックマークに追加 Clip to Evernote Yahoo!ブックマークに登録 このエントリをBuzzurlに登録 Buzzurlブックマーク数 Google+

辻 伸弘のセキュリティ防衛隊

第3回 「公開情報」からここまで分かる!? オープン・ソース・インテリジェンス(OSINT)について聞いてみた(1/3)

第3回 「公開情報」からここまで分かる!? オープン・ソース・インテリジェンス(OSINT)について聞いてみたオープン・ソース・インテリジェンス(open source intelligence:OSINT)とは、オープン・ソース、すなわち一般に公開され利用可能な公開情報を情報源に、情報を収集する専門領域のことです。一般的に、国家保障やビジネス戦略上の専門領域を意味する言葉ですが、最近では、サイバー攻撃等の増加に伴い、情報セキュリティの分野でも見かけることがあります。インターネットやソーシャルメディアなどに「公開された」情報が、企業等の特定の組織を標的に機密情報を盗み出そうとする「標的型攻撃」や、個人を標的にしたストーカー行為などの手がかりになってしまうというリスクがあります。

今回は、企業や個人が安全な情報公開のために気をつけるポイントについて、「セキュリティ防衛隊」の辻さんに解説していただきます。

OSINTは、合法的に得られた公開情報を情報源に、情報を付き合わせ‏分析する調査手法、または諜報のことです。本来はツールや手法のみを指す言葉ではなく広い活動のことを指す言葉です。現在ではツールや手法のみに対してOSINTという用語を使うこともあります。こちらに関しては意見が分かれるところがありますため、今回の記事についてはOSINTではなく単なる公開情報の収集と分析とも呼べるということをご留意ください。

OSINTってどういうもの?

★ 辻さん今回もよろしくお願いします。今回はOSINTがテーマということですが......。
辻 伸弘隊長

こんにちは。OSINTというのは、公開情報を使う情報収集のことです。

★ 公開情報ですか。
辻 伸弘隊長

はい。例えば、取引先がどんな事業を行っているか、公開されている業績や株価などの情報を調べることもOSINTと言えるでしょう。

★ なるほど。では、OSINTというのは、私たちも日常的に行っていることだと考えていいわけですか。
辻 伸弘隊長

そうです。例えば、ネットに公開されたプレスリリースやメディアの報道を見て情報収集するというのは、自分のビジネスの目的を達成するために、社会人であれば日常的に行う行為ですよね。そして、皆さんも情報収集には様々なノウハウをお持ちだと思います。

★ ちなみに、辻さんの情報収集のポイントはどういうものですか?
辻 伸弘隊長

そうですね。私が日常的な情報収集の際に気をつけているのは、必ず一次情報に当たることです。何かのインシデント(事案)であれば、メディアの報道だけでなく、当事者の企業が発表する情報を確認します。また、メディアの報道を見る際は、そのニュースを何社が報じているかを意識しますね。もし、1社しか報じてなかったら、なぜそのメディアしか報じてないのかということを意識しながらニュースを読むようにしています。

こんな風に、個人が行う情報収集にも様々なノウハウがあるように、このOSINTにも、目的に応じて様々なノウハウがあるんですね。今回は、このOSINTというものを紹介しながら、企業や個人が安全な情報公開のために気をつけるポイントについて考えたいと思います。

実際に、OSINTによってどの程度の情報が収集されるリスクがある?

★ では、公開情報からどんな情報が収集されうるのか、OSINTについて教えてください。
辻 伸弘隊長

はい。まずは、「ドキュメントファイルに含まれるメタデータ」について考えてみたいと思います。

★ ドキュメントファイルのメタデータですか?
辻 伸弘隊長

ええ。「メタデータ」というのは、文書のプロパティで、作成者や表題といった文書についての詳細情報のほか、コンピュータ名やコメント、電子メールのヘッダーなど、個人が特定される情報が含まれる場合があります。企業等の組織が、Webサイト上に公開しているドキュメントファイルなどから、内部の情報が収集される可能性があるのですね。

★ 具体的にはどういうことでしょう?
辻 伸弘隊長

例えば、特定のドメイン上に公開されたファイルのメタデータから、システムのユーザー名を知ることができる場合があります。また、プリンターの機種や利用しているOS、アプリケーションやそのバージョンなどの情報も収集できる可能性があります。

★ ユーザー名が知られるとどんなリスクがありますか?
辻 伸弘隊長

そうですね。組織によっては、ユーザー名がそのままメールアドレスになっていることもあるので、メールアドレスの収集や、あるいは、その組織のユーザー名の命名規則を知る手がかりになる場合もあります。

メールアドレスが収集されると、不正ログイン(なりすまし)の対象として攻撃される可能性に加え、組織名、メールアドレスなどを手がかりに、そのユーザーのFacebookなどのSNSのアカウントが特定され、SNSに投稿された公開情報から、個人情報が知られる可能性があります。

★ 個人が標的になる場合もあるのですね。
辻 伸弘隊長

あくまで、攻撃者の目的によるのですが、目的を達するためにその会社の社員の情報が必要であれば、社員個人が標的になる場合もあります。また、個人が標的になるといえば、典型的なものがストーカー行為です。

★ 確かに、他人事とは思えません。
辻 伸弘隊長

皆さんが思っている以上に、SNSのアカウントの特定というのは簡単に行えてしまうのです。例えば、名前を知っていて、Facebookのアカウントは分かるが、Twitterアカウントは分からないという場合にも、意外と両サービスを連携させて同じ画像を投稿するユーザーというのがいるので、うっかりするとTwitterアカウントが特定される場合があります。

★ なるほど。たしかに、複数のSNSの連携というのは思わぬ盲点です。
辻 伸弘隊長

Twitterのアカウントは誰にも知られていないから大丈夫と思っていても、思わぬところから「身バレ」する可能性があります。また、特定のTwitterアカウントを分析するツールも存在するので、ソーシャルグラフ(ソーシャルメディア上の友人関係)が分かってしまう場合があります。

★ 他に、SNSへの投稿に含まれる情報から、情報が収集される可能性がありますか?
辻 伸弘隊長

そうですね。SNSの投稿に含まれる代表的なメタデータの一つが位置情報です。例えば、TwitterやInstagramなどへの投稿に付した位置情報から、そのユーザーがいつ、どこにいたかという情報が特定できるほか、場合によっては生活圏まで特定される可能性があります。

★ 投稿している本人はまさか、そんな情報まで特定されるとは思ってない?
辻 伸弘隊長

そこが問題ですね。自分(または組織)が、どんな情報を公開しているかをきちんと把握している場合は問題ないかも知れませんが、不用意に情報を公開したままにしている場合は、自分たちが公開している情報について再確認する必要があると思います。

★ OSINTが攻撃に悪用されるリスクもあるのですね。
辻 伸弘隊長

はい。企業や組織は、関連する組織や団体、取引先など、様々な組織がサプライチェーンで繋がり合っています。例えば、攻撃者が特定の企業に標的型攻撃を仕掛ける際に、一見すると何の関係もなさそうな別の組織が狙われる可能性がありますし、場合によっては、個人がターゲットにされるかも知れません。上述したように、様々なツールや手法を組み合わせられ、色々な角度から情報を収集されるリスクがあるというのは、知っておいて損はないでしょう。

関連キーワード:
辻 伸弘のセキュリティ防衛隊

監修者プロフィール

監修者プロフィール

辻 伸弘(つじ・のぶひろ)

大阪府出身。ソフトバンク・テクノロジー株式会社に所属。セキュリティ技術者として、情報システムの弱点を洗い出し修正方法を助言するペネトレーションテスト(侵入テスト)などに従事。また、自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行う。現在は、主に攻撃視点を意識しつつ情報セキュリティに関する調査や分析を行い、講演や執筆活動も精力的にこなすなど情報発信を続けている。Twitter IDは@ntsuji