オープンソースインテリジェンス（OSINT）とは？

オープンソースインテリジェンス(OSINT)は、特定のインテリジェンス要件に対処するために、公開されているソースから情報を収集、分析、および配布するプラクティスです。

脅威インテリジェンスのサブタイプの中で、オープンソースインテリジェンス(OSINT)はおそらく最も広く使用されているものであり、これは理にかなっています。結局のところ、それはほとんど無料であり、誰がそれにノーと言えるでしょうか?

残念ながら、他の主要なサブタイプ(人間の知能、信号知能、地理空間知能など)と同様に、オープンソースの知能は広く誤解され、誤用されています。

この広範な使用とOSINTの高度化は、市場予測に反映されています。 実際、Future Market Insiktの レポート によると、OSINT業界は2033年までに580億ドルに達すると予測されており、その重要性の高まりとさまざまなセクターへの統合が浮き彫りになっています。

OSINTは何の略ですか? オープンソースインテリジェンス(OSINT)とは何ですか? または、OSINTとはどういう意味ですか? 調べるために読み続けてください。

このブログ記事では、 オープンソースインテリジェンス(OSINT)の基礎について、その使用方法や、収集と分析に使用できる ツールと手法 について説明します。 OSINTとは何かを掘り下げ、OSINTの意味と、情報収集の領域でOSINTが果たす重要な役割を探ります。

Key Takeaways

• オープンソースのインテリジェンスは、一般に公開されているデータと情報から導き出されます。 Googleを使用して見つけることができるものに限定されませんが、いわゆる「サーフェスウェブ」は重要な要素です。
• オープンソースのインテリジェンスは価値がありますが、情報過多は大きな懸念事項です。 オープンソースのインテリジェンスイニシアチブの実施に使用されるツールと手法のほとんどは、セキュリティ専門家(または脅威アクター)が特定の関心領域に取り組みを集中できるように設計されています。
• オープンソースのインテリジェンスには暗い側面があり、セキュリティ専門家が見つけられるものはすべて、脅威アクターによっても発見(および使用)される可能性があります。
• オープンソースの情報収集には明確な戦略とフレームワークを持つことが不可欠 であり、単に興味深く役立つものを探すだけでは、必然的に燃え尽き症候群につながります。
• OSINTツールを使用して機密データを検出し、潜在的な攻撃者から保護することは、 サイバーセキュリティの脅威のリスクを軽減するために重要です。

OSINTの意味

オープンソースインテリジェンスの一般的なソースとアプリケーションを見る前に、それが実際に何であるかを理解することが重要です。

米国公法によると、オープンソースインテリジェンスは次のことを行います。

• 公開されている情報から作成されています
• 収集、分析、および適切な聴衆にタイムリーに配布されます
• 特定のインテリジェンス要件に対応

ここで注目すべき重要なフレーズは、「公開されている」です。

「オープンソース」という用語は、特に一般に公開されている情報を指します。 情報にアクセスするために専門的なスキル、ツール、または技術が必要な場合、それは合理的にオープンソースと見なすことはできません。

重要なことは、オープンソースの情報は、主要な検索エンジンを使用して見つけることができるものに限定されないということです。 Googleを使用して見つけることができるWebページやその他のリソースは、確かにオープンソース情報の膨大な情報源を構成していますが、それらだけが情報源ではありません。

まず、インターネットの大部分(Googleの元CEOであるEric Schmidt氏によると、99%以上)は、主要な検索エンジンを使用して見つけることができません。 このいわゆる「ディープウェブ」は、( ログインページ やペイウォールの存在など、さまざまな理由で)Google、Bing、Yahoo、またはその他の検索エンジンにインデックスできないWebサイト、データベース、ファイルなどの塊です。 それにもかかわらず、ディープウェブのコンテンツの多くは、一般に公開されているため、オープンソースと見なすことができます。

OSINTツールを使用すると、従来の検索エンジン以外のソースから情報にアクセスして分析できます。 Spiderfoot、searchcode、Searx、Twint、Metagoofilなどのこれらのツールは、ソーシャルメディアネットワークやディープウェブなどの公開ソースやオープンソースから大量のデータを収集して分析し、大量のデータを発見して保存し、さまざまな情報間のリンクやパターンを見つけ、発見した情報を実用的なインテリジェンスに照合します。

さらに、 従来の検索エンジン以外のオンラインツールを使用して見つけることができる、オンラインで自由にアクセスできる情報がたくさんあります。 これについては後で詳しく説明しますが、簡単な例として、 SecurityTrails などのツールを使用して、IPアドレス、ネットワーク、開いているポート、Webカメラ、プリンター、およびインターネットに接続されているほとんどすべてのものを見つけることができます。

次の場合、情報はオープンソースと見なすこともできます。

• 一般向けに公開または放送されるもの(ニュースメディアのコンテンツなど)
• リクエストに応じて一般に公開されます(例:国勢調査データ)
• 購読または購入により一般に公開されます (業界誌など)
• カジュアルな観察者でも見たり聞いたりすることができます
• 一般公開の会議で公開
• 一般に公開されている場所を訪れたり、イベントに参加したりすることで取得できます

この時点で、「まあ、それはたくさんの情報だ...」と思うでしょう。

そして、あなたは正しいです。 私たちは、想像を絶する量の情報が、誰もが追いつくことを望むよりもはるかに高い速度で増加している話です。 フィールドを単一の情報源(たとえばTwitter)に絞り込んだとしても、 毎日何億もの新しいデータポイントに対処することを余儀なくされています。

これは、おそらくお気づきかもしれませんが、オープンソースインテリジェンスの本質的なトレードオフです。

OSINTの歴史

OSINTという用語は、インテリジェンスのコンテキストで使用するために 、公開されているソースから 情報を収集する慣行を指します。 この慣行はしばらく前から存在していましたが、OSINTを独自のリーグに本当に推進したのはデジタル時代です。

OSINTの基本的なルーツは、1941年の外国放送監視サービス(FBMS)の設立に関連しています。この組織は、国際的な放送通信を精査して、疑わしい活動の可能性を特定するという重要な役割を担っていました。

元情報将校協会(AFIO)によると、「米軍が初めてOSINTという用語を作り出したのは1980年代後半だった」という。 この発展は、特に戦術的な戦場レベルで、急速に変化する情報需要を効果的に満たすためには、情報改革が必要であるという認識に端を発しています。

当初、OSINTは、主に諜報機関や法執行機関が国家安全保障や サイバー犯罪 捜査を支援するための公開情報を収集するために使用するツールでした。 その方法は時間がかかり、多くの場合、関連情報を見つけるために、個人が公的記録、新聞、その他の文書を手作業でふるいにかける必要がありました。 この手作業による情報収集は、膨大な量のデータをふるいにかけなければならないため、しばしば困難でした。 しかし、 ウェブが進化するにつれて、公開されているデータを収集して分析する方法も進化しました。

インターネットの出現により、情報を収集できる手段が大幅に拡大しました。 突如として、政府の報告書から学術論文まで、あらゆるデータが公開され、オンラインで簡単にアクセスできるようになりました。 Webサイトは、OSINTの実践者の主要なデータソースになりました。 これらの開発により、データ収集と分析のプロセスを自動化するように設計された OSINTツール の作成がブームになりました。 これらのツールは、一般にアクセス可能なデータベース、ソーシャルメディアプラットフォーム、およびデジタル領域で利用可能な他の多くのツールを含む、さまざまなソースから情報をすばやく収集できます。

サイバーセキュリティの分野が急速な成長を遂げるにつれて、OSINTのアプリケーションは拡大しました。サイバーセキュリティの専門家は、OSINTを利用して脆弱性を特定し、潜在的なセキュリティ脅威を評価し、組織のセキュリティを強化することに価値を見出し始めました。 OSINTツールは、一般にアクセス可能なWebサーバーの監視、メタデータの分析、およびセキュリティの脆弱性の評価に不可欠になりました。 収集されたデータは、組織のセキュリティ体制を理解し、潜在的な脅威を特定し、リスクを軽減するための戦略を策定する上で非常に貴重なものとなりました。

注目すべきトレンドの1つは 、機械学習と分析をOSINTツールに統合して、収集したデータからパターンと傾向を特定するプロセスを強化していることです。 この統合により、OSINTツールがより効果的になっただけでなく、それらを利用できるアプリケーションの範囲も広がりました。 たとえば、セキュリティ研究者は現在、OSINTを使用して侵入テストを実行し、企業はOSINTを使用して競合他社や市場環境に関する洞察を得ています。

さらに、 OSINT研究者のコミュニティは時間とともに成長し、知識を共有し、ベストプラクティスを議論し、新しいOSINT技術を開発するためのフォーラム、会議、グループが形成されています。 Recon-ngのようなフレームワークを含む多くのOSINTツールは、GitHubのようなプラットフォーム上に開発者のコミュニティを持ち、これらのツールの機能を拡張するためのモジュールの改善、カスタマイズ、作成に取り組んでいます。 これらのコミュニティの集合的な努力は、OSINTの実践を洗練する上で重要な役割を果たし、情報収集とサイバーセキュリティの重要な要素となっています。

オープンソースのインテリジェンスはどのように使用されますか?

オープンソースインテリジェンスの基本について説明したので、サイバーセキュリティ で一般的にどのように使用されているかを見てみましょう。 インテリジェンスコミュニティは、国家安全保障とサイバーセキュリティの取り組みにOSINTを活用する上で重要な役割を果たしています。

一般的な使用例は 2 つあります。

1.倫理的なハッキングと侵入テスト

セキュリティ専門家は、オープンソースのインテリジェンスを使用して、友好的なネットワークの潜在的な弱点を特定し、脅威アクターに悪用される前に修正できるようにします。 一般的に見られる弱点は次のとおりです。

• ソーシャルメディアなどを通じた機密データの偶発的な漏洩。機密データを特定して保護することは、サイバーセキュリティの脅威のリスクを軽減するために重要です。
• 開いているポートまたはセキュリティで保護されていないインターネット接続デバイス
• パッチが適用されていないソフトウェア(一般的なCMS製品の古いバージョンを実行しているWebサイトなど)
• 漏洩または公開された資産 (ペーストビン上の独自のコードなど)

2. 外部からの脅威の特定

これまで何度も議論してきたように、インターネットは、組織の最も差し迫った 新たな脅威に関する洞察の優れた情報源です。 どの新しい脆弱性が積極的に悪用されているかの特定から、今後の攻撃に関する脅威アクターの「おしゃべり」の傍受まで、オープンソースのインテリジェンスにより、セキュリティ専門家は、現在の最も重要な脅威に対処するための時間とリソースに優先順位を付けることができます。

ほとんどの場合、この種の作業では、アナリストが複数のデータ ポイントを特定して関連付け、アクションを実行する前に脅威を検証する必要があります。 OSINTツールは、ソーシャルメディアネットワークやディープウェブなど、公開ソースやオープンソースからデータを収集して分析し、脅威の検証のために複数のデータポイントを特定して関連付けるために使用されます。 たとえば、1つの脅迫ツイートは心配する必要はないかもしれませんが、その同じツイートが特定の業界で活動していることが知られている脅威グループに関連付けられていた場合、異なる視点で見られるでしょう。

オープンソースのインテリジェンスについて理解すべき最も重要なことの1つは、他のインテリジェンスサブタイプと組み合わせて使用されることが多いということです。 内部テレメトリ、クローズド ダーク Web コミュニティ、外部情報共有コミュニティなどのクローズド ソースからのインテリジェンスは、オープンソース インテリジェンスのフィルタリングと検証に定期的に使用されます。 アナリストがこれらの機能を実行するのに役立つさまざまなツールがありますが、これについては後で少し説明します。

オープンソースインテリジェンスのダークサイド

この時点で、オープンソースインテリジェンスの2つ目の大きな問題、つまり、インテリジェンスアナリストがすぐに利用できるものがあれば、脅威アクターもすぐに利用できるという問題に対処する時が来ました。

脅威アクターは、オープンソースのインテリジェンスツールと手法を使用して、潜在的なターゲットを特定し、ターゲットネットワークの弱点を悪用します。 脆弱性が特定されると、多くの場合、それを悪用してさまざまな悪意のある目標を達成するための 非常に迅速かつ簡単なプロセス です。 また、標的型攻撃の開始やダークウェブでの情報の販売など、悪意のある目的で悪用される可能性のある機密データも探し出します。

このプロセスが、毎年非常に多くの中小企業がハッキングされる主な理由です。 これは、脅威グループが特にそれらに関心を持っているからではなく、ネットワークやWebサイトのアーキテクチャの脆弱性が単純なオープンソースのインテリジェンス技術を使用して発見されるためです。 要するに、彼らは簡単な標的です。

また、オープンソースのインテリジェンスは、ITシステムやネットワークに対する技術的な攻撃を可能にするだけではありません。 また 、さまざまな種類の脅威アクター が、 フィッシング (電子メール)、ビッシング(電話またはボイスメール)、SMiShing(SMS)を使用して高度なソーシャルエンジニアリングキャンペーンに情報を提供するために使用できる個人や組織に関する情報も探し求めます。 多くの場合、ソーシャルネットワークやブログを通じて共有される一見無害な情報は、説得力のあるソーシャルエンジニアリングキャンペーンの開発に使用され、その結果、善意のユーザーをだまして組織のネットワークや資産を危険にさらすために使用されます。

だからこそ、オープンソースのインテリジェンスをセキュリティ目的で使用することが非常に重要であり、脅威アクターが同じツールや手法を使用してそれらを悪用する前に、組織のネットワークの弱点を見つけて修正し 、機密情報を削除する 機会を得ることができます。

オープンソースのインテリジェンス技術とOSINTツール

さて、オープンソースのインテリジェンスの使用法(良い点と悪い点の両方)について説明したので、次はオープンソース情報の収集と処理に使用できるいくつかの手法を見てみましょう。

まず、 オープンソースのインテリジェンスを取得して使用するための明確な戦略と フレームワーク が必要です。興味深いものや役立つ可能性のあるものを見つけるという観点からオープンソースインテリジェンスにアプローチすることはお勧めしません - すでに説明したように、オープンソースを通じて利用可能な膨大な量の情報に圧倒されるだけです。

また、特定の情報収集目標に適したOSINTツールを選択することも重要です。 Spiderfoot、searchcode、Searx、Twint、Metagoofilなどのこれらのツールは、大量のデータを発見して保存し、さまざまな情報間のリンクとパターンを見つけ、発見した情報を実用的なインテリジェンスに照合するのに役立ちます。

それよりも、自分が 何を達成しようとしているのかを正確に把握 し、例えば、ネットワークの弱点を特定して修正するなど、その目標を達成することに特にエネルギーを集中させる必要があります。

次に、 オープンソース情報を収集および処理するための一連のツールと手法を特定する必要があります。 繰り返しになりますが、利用可能な情報量が多すぎて、手動プロセスがわずかに効果的であるとは限りません。

パッシブOSINTとアクティブOSINT

大まかに言えば、オープンソースインテリジェンスの収集は、パッシブコレクションとアクティブコレクションの2つのカテゴリに分類されます。

パッシブ コレクションでは 、多くの場合、 脅威インテリジェンス プラットフォーム (TIP) を使用して、さまざまな 脅威フィード を簡単にアクセスできる 1 つの場所に組み合わせます。 これは、手作業による情報収集からの大きなステップアップですが、情報過多のリスクは依然として大きいです。

Recorded Futureのようなより高度な脅威インテリジェンスソリューションは、人工知能、 機械学習、自然言語処理を使用して、組織の特定のニーズに基づいてアラートの優先順位付けと却下プロセスを自動化することで、この問題を解決します。 さらに、OSINTツールを使用すると、 ソーシャルメディアネットワーク やディープウェブなどの公開ソースやオープンソースから大量のデータを収集して分析することで、このプロセスをさらに効率化できます。

同様に、組織化された脅威グループは、トラフィックスニッフィングやキーロギングなどの手法を使用して、ボットネットを使用して貴重な情報を収集することがよくあります。

アクティブコレクション とは、さまざまな手法を使用して特定の洞察や情報を検索することです。 セキュリティ専門家にとって、このタイプの収集作業は通常、次の 2 つの理由のいずれかで行われます。

1. 受動的に収集されたアラートは、潜在的な脅威を強調表示しており、さらなる分析情報が必要です。
2. 情報収集演習の焦点は、侵入テスト演習など、非常に具体的です。

最後に、オープンソースのインテリジェンスを収集および処理するために最も一般的に使用されるツールのいくつかを見ていきます。

セキュリティ専門家や脅威アクターが利用できる無料で便利なツールは数多くありますが、 最も一般的に使用されている(そして悪用されている)オープンソースのインテリジェンスツールの一部は、Googleのような検索エンジンです 。

すでに説明したように、 セキュリティ専門家が直面している最大の問題の1つは、通常の善意のユーザーが誤って機密性の高い資産や情報をインターネットに公開する頻度です。 「Googleドーク」クエリと呼ばれる一連の高度な検索機能があり、公開する情報や資産を特定するために使用できます。

Googleのドーククエリは、IT専門家やハッカーが日常的に作業を行うために使用する検索演算子に基づいています。 一般的な例としては、検索結果を特定のファイルタイプに絞り込む「filetype:」や、指定したウェブサイトまたはドメインからの結果のみを返す「site:」などがあります。

Public Intelligenceのウェブサイトでは、 Googleのドーククエリのより詳細な概要を提供しており、次の検索例を紹介しています。

「機密扱い」 ファイルタイプ:PDF site:publicintelligence.net

この検索語を検索エンジンに入力すると、文書テキストのどこかに「sensitive but unclassified」という単語が含まれている Public Intelligence Web サイトから の PDF 文書のみが返されます。 ご想像のとおり、セキュリティ専門家や脅威アクターは、何百ものコマンドを自由に使えるため、同様の手法を使用してほとんど何でも検索できます。

検索エンジンに限らず、ネットワークの弱点や露出した資産を特定するために使用できるツールは、文字通り何百もあります。 たとえば、 Wappalyzer を使用してWebサイトで使用されているテクノロジーを特定し、その結果を Sploitus または National Vulnerability Database と組み合わせて、関連する脆弱性が存在するかどうかを判断できます。 さらに一歩進んで、Recorded Futureのようなより高度な脅威インテリジェンスソリューションを使用して、 最近の脆弱性 が積極的に悪用されているかどうか、またはアクティブなエクスプロイトキットに含まれているかどうかを判断できます。

OSINTに関するFAQ

OSINTは合法ですか?

はい、OSINTは一般に公開されている 情報の収集 を伴うため、一般的に合法です。 ただし、情報の使用方法や、OSINTを装って制限されたデータやプライベートデータにアクセスしようとする試みによっては、合法性が灰色の領域になる可能性があります。 情報を収集する際には、機密データが攻撃者に悪用されるのを防ぐために、機密データを確実に保護することが重要です。

OSINTのダークサイドは何ですか?

OSINTの暗い面は、機密データが収集され、悪意のある目的で悪用されたときに現れます。 これには、ストーカー行為、嫌がらせ、晒し行為、さらにはサイバー攻撃の計画が含まれる可能性があります。 OSINT自体は、他のツールと同様に、多くの積極的な用途にとって貴重なツールですが、悪意のある人の手に渡る可能性があります。

OSINTはダークウェブから情報を収集するためにどのように利用され、どのような予防措置を講じるべきですか?

OSINTは、ダークウェブ上の隠れたサービスやフォーラムを明らかにするために使用され、 サイバー犯罪の調査 や脅威の検出を支援します。 SpiderfootやTwintなどのOSINTツールの使用は、これらの隠れたソースからのデータを明らかにして分析する上で非常に重要です。 ただし、ダークウェブに足を踏み入れるには、次の予防策が必要です。

1. 法令遵守: 行動が法的および倫理的ガイドラインに準拠していることを確認します。
2. プライバシー保護: 個人のプライバシーを侵害しない。
3. 安全なブラウジング: Torなどのツールを使用して、安全なブラウジングを実現します。
4. マルウェア対策: 堅牢なマルウェア保護を採用して、悪意のあるソフトウェアから保護します。
5. データ検証: 複数のソースを通じて収集された情報の正確性を確認します。

これらの対策は、ダークウェブから情報を収集する際にOSINTを安全かつ合法的に使用するのに役立ちます。

終わりを念頭に置いて始める

オープンソースのインテリジェンスイニシアチブの成功の最も重要な要素は、明確な戦略の存在です — 達成しようとしていることを知り、それに応じて目標を設定しれば、最も有用なツールやテクニックを特定することは、はるかに達成可能になります。

Recorded Futureが組織の脅威をよりよく理解し、防止するためにどのように役立つかについては、今すぐ パーソナライズされたデモをリクエスト してください。

この記事は2019年2月19日に公開され、2024年6月24日に最終更新されました。