OSINT(オープンソース・インテリジェンス)とは、一般公開されているあらゆる情報源からアクセス可能な情報を収集・分析を行う手法を指します。
OSINTとは本来、国家保障等の専門領域で使われる言葉ですが、OSINTの手法がサイバー攻撃でも悪用されるようになり、最近ではサイバーセキュリティ分野でも注目を集めています。
この記事では、OSINTについての解説と、情報を収集できるOSINTツール、情報漏洩を防ぐための企業の対策について解説します。
目次
OSINTとは
OSINTは「Open Source Intelligence(オープンソース・インテリジェンス)」の略称で、一般公開されている情報を収集・分析し、独自の情報を得る手法です。もともとは諜報・軍事分野の概念ですが、サイバーセキュリティ分野でも用いられます。
ニュースや新聞・テレビ・ラジオ・SNSなど「誰にでもアクセス可能な情報」から情報を収集します。
OSINTは米国国防総省(DoD)によって、「特定の情報要件に対処する目的で、一般に入手可能な情報を収集し、利用し、適切な対象者に適時に普及させた情報」と定義されています。
OSINTの手法には以下が挙げられます。
- 新聞やニュース、企業の発表報道などから情報を収集
- 組織プレスリリース・組織トップのインタビュー記事・組織のWebサイト・従業員のSNSから情報を収集
- セキュリティベンダの公開レポート、IoC情報公開サイト、セキュリティアナリストの発表資料、SNSなどの情報収集
上記のように、OSINTの手法は様々です。その目的によってOSINTの手法は変化します。
また、様々な公開情報から情報を取得するOSINTツールも流通しています。
OSINTの活用法
諜報活動の分野以外にも、サイバーセキュリティーの分野でOSINTは注目されて来ました。企業によるOSINTの活用例は以下の通りです。
- 意図せず公開されている情報を把握し、サイバー攻撃の標的になりそうなものを発見し対策を行う
- サイバー攻撃被害を受けた際の、情報漏洩の被害範囲を特定する
- 既に流出してしまった情報を確認し、情報毎に適切な対応を行い二次被害を防ぐ
OSINTは攻撃者に悪用されるケースもある
インターネット上に公開されている情報は、攻撃者もアクセスすることが可能な為、標的型攻撃にOSINTを悪用されるケースは少なくありません。
標的型メールの作成に悪用される場合、標的型メールを正規のメールに擬態させるための情報収集にOSINTが活用できますし、従業員や役員の個人情報を取得し、管理者権限を持っている人物を特定したうえで、標的型攻撃のターゲットとすることが可能です。
意図せず流出した情報に注意
OSINTを使って収集可能な情報には「意図して公開した情報」と「意図せず公開されている情報」の2つに分けられます。この「意図せず公開されている情報」に注意が必要です。攻撃者は「意図せず公開されている情報」の出どころからセキュリティの抜け穴や脆弱性を見つけ出し、攻撃に利用するのです。
情報漏洩を確認できるOSINTツール5選
OSINTツールを使用することで誰でも公開情報を収集素早く収集することが可能です。
ここでは多く活用されているOSINTツールを5つ紹介します。
- Maltego:ドメイン、IPアドレス、WEBサイト等から組織の関連性を調査可能。ユーザーインターフェイスを可視化できる。
- Spiderfoot:企業や団体の公開情報を取得できるツール。100以上の公開データソースを自動的に検索可能。
- Shodan:インターネットに接続されたデバイスを探し出すことが出来る検索エンジン。不要なポート・サービスが公開されていないか、レスポンスに不要な情報が記載されていないかなど脆弱性を確認可能。
- Have I Been Pwned:メールアドレスを入力するだけで簡単に個人情報の流出を確認可能。
- Firefox Monitor:「Have I Been Pwned」と同様の機能だが、日本語に対応しているため比較的扱いやすい。
OSINTツールで情報漏洩が確認できた際の対応
OSINTツールで意図せず情報が公開されていることを確認した場合、攻撃者に悪用されるリスクが高いため適切な対応を取る必要があります。
万が一情報漏えいが発覚した場合は、以下の対応を参考にしてください。
- メールアドレス・パスワードの変更
- ログイン履歴を確認
- 個人情報漏えいに関する実態調査を実施
1.メールアドレス・パスワードの変更
企業で情報漏えいが発覚したら、早急に使用しているアカウントのメールアドレス、パスワードを変更しましょう。
複数のサイトで同じパスワードの使用は情報が漏えいした際の被害を拡大させてしまうため、サイトごとに異なるパスワードを再設定してください。
2.ログイン履歴を確認
ログイン履歴の確認が可能な場合は第三者からの不正ログインがないか確認しましょう。
Googleアカウントを利用している場合は[セキュリティ]をクリックし、[お使いのデバイス]パネルで [すべてのデバイスを管理]を選択すると確認可能です。
3.情報漏洩に関する実態調査を実施
業が重要な機密情報や個人情報等を情報漏洩させてしまった際は、速やかに被害の全容を調査する必要があります。
情報漏えいが発生した企業の個人情報保護委員会への報告義務については、こちらの記事を参考にしてください。
OSINTから企業を守るには対策が重要
OSINTを活用し、現在情報が漏えいしていない事を確認できたとしても、今後被害にあう確率は0%ではありません。OSINTを悪用する攻撃者から企業を守るには、十分な対策が必要です。
企業がとるべき対策は以下を参考にしてください。
- 定期的なソフトウェアのアップデートを実施
- 簡単なID・パスワードを設定しない
- 公開しているPDFファイルのプロパティに個人情報が載っていないか確認
- 広報用アカウントを含め、SNSに企業内部の情報がわかるような投稿をしない
定期的なソフトウェアのアップデートを実施
WindowsやMacOSなど、使用しているPCのソフトウェアアップデートは定期的に実施してください。OSを含めたソフトウェアのアップデートでは、「セキュリティ上の問題点や不具合の修正」「新しい機能の追加」等が含まれます。
古いバージョンを使用し続けていると、ソフトウェアの脆弱性を悪用される恐れがあります。
Windows11の場合のアップデート方法は以下を参考にしてください。
- [スタート]をクリック
- [設定]から[Windows Update]を選択
- [更新プログラムの確認]を選択
- 更新プログラムが利用可能な場合は、インストールを選択できます
簡単なID・パスワードを設定しない
簡単なID・パスワードは特定されて悪用されるリスクが非常に高いです。企業で使用するID・パスワードは「ランダムな大文字と小文字を混ぜた英数字8桁以上」に設定しましょう。また、同じパスワードを使いまわすこともやめましょう。パスワードを特定された場合の被害拡大の可能性があります。
公開しているPDFファイルのプロパティに個人情報が載っていないか確認
PDFファイルで保存した文書には、プロパティにアカウントのユーザー名が載っている場合があります。気づかずWeb上へ公開してしまうと、作成者の個人名を世界中に公開することになってしまいます。Web上へPDFファイルを公開する際には、事前にファイルの[プロパティ]の[作成者]欄を確認しましょう。
広報用アカウントを含め、SNSに企業内部の情報がわかるような投稿をしない
SNSのセキュリティ対策も重要です。企業アカウントや従業員の個人アカウントで、企業や業務の機密情報が写り込んだ写真等を投稿してしまい、意図せず情報が流出してしまうケースは少なくありません。
おすすめのOSINT調査会社
OSINT調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。
信頼できるOSINT調査会社を選ぶポイント
- 官公庁・捜査機関・大手法人の依頼実績がある
- 緊急時のスピード対応が可能
- セキュリティ体制が整っている
- 法的証拠となる調査報告書を発行できる
- データ復旧作業に対応している
- 費用形態が明確である
上記のポイントから厳選したおすすめのOSINT調査会社は、デジタルデータフォレンジックです。
デジタルデータフォレンジック
公式サイトデジタルデータフォレンジック
デジタルデータフォレンジックは、累計3万9千件以上の豊富な相談実績を持ち、全国各地の警察・捜査機関からの相談実績も395件以上ある国内有数のフォレンジック調査サービスです。
一般的なフォレンジック調査会社と比較して対応範囲が幅広く、法人のサイバー攻撃被害調査や社内不正調査に加えて、個人のハッキング調査・パスワード解析まで受け付けています。24時間365日の相談窓口があり、最短30分で無料のWeb打合せ可能とスピーディーに対応してくれるので、緊急時でも安心です。
運営元であるデジタルデータソリューション株式会社では14年連続国内売上No.1のデータ復旧サービスも展開しており、万が一必要なデータが暗号化・削除されている場合でも、高い技術力で復元できるという強みを持っています。調査・解析・復旧技術の高さから、何度もテレビや新聞などのメディアに取り上げられている優良企業です。
相談から見積りまで無料で対応してくれるので、フォレンジック調査の依頼が初めてという方もまずは気軽に相談してみることをおすすめします。
費用 | ★相談・見積り無料 まずはご相談をおすすめします |
---|---|
調査対象 | デジタル機器全般:PC/スマートフォン/サーバ/外付けHDD/USBメモリ/SDカード/タブレット 等 |
サービス | ●サイバーインシデント調査: マルウェア・ランサムウェア感染調査、サイバー攻撃調査、情報漏洩調査、ハッキング調査、不正アクセス(Webサイト改ざん)調査、サポート詐欺被害調査、Emotet感染調査 ●社内不正調査: 退職者の不正調査、情報持ち出し調査、横領・着服調査、労働問題調査、文書・データ改ざん調査、証拠データ復元 ●その他のサービス: パスワード解除、デジタル遺品調査、セキュリティ診断、ペネトレーションテスト(侵入テスト)、OSINT調査(ダークウェブ調査) 等 ※法人・個人問わず対応可能 |
特長 | ✔官公庁・法人・捜査機関への協力を含む、累計39,000件以上の相談実績 ✔企業で発生しうるサイバーインシデント・人的インシデントの両方に対応 ✔国際標準規格ISO27001/Pマークを取得した万全なセキュリティ体制 ✔経済産業省策定の情報セキュリティサービス基準適合サービスリストに掲載 ✔警視庁からの表彰など豊富な実績 ✔14年連続国内売上No.1のデータ復旧サービス(※)を保有する企業が調査 ※第三者機関による、データ復旧サービスでの売上の調査結果に基づく。(2007年~2020年) |
基本情報 | 運営会社:デジタルデータソリューション株式会社 所在地:東京都港区六本木6丁目10-1 六本木ヒルズ森タワー15階 |
受付時間 | 24時間365日 年中無休で営業(土日・祝日も対応可) ★最短30分でWeb打合せ(無料) |
OSINT調査の費用
OSINT調査の費用は、調査対象となるデータの量や種類、調査期間によって異なります。
OSINT調査の費用とプランは個別の要件やニーズによって異なるため、具体的な価格やプランについては、セキュリティ企業や専門家との相談や見積もりが必要です。OSINT調査を検討している場合は、費用とプランをよく確認して、自分に合ったプランを選択してください。
まとめ
今回は、OSINTの概要や悪用されるケース、企業がとるべき対応について解説しました。
一般に公開されているインターネット上に情報が流出すると、企業情報を攻撃リストに入れられ、被害を受け続ける恐れがあります。そうした事態を防ぐためにも、OSINT調査はマストとなるといえるでしょう。
不安に思ったときは、高い技術と実績がある専門家に調査を依頼することで、被害の有無や原因究明に役立てます。