サイバー犯罪者が活用するツールの1つがOSINT(オシント)です。この記事では、OSINTとは何か、OSINTの危険性、そしてOSINTから企業を守る方法について説明します。
OSINTとは?
OSINTとは、「オープンソースインテリジェンス」の略で、一般にアクセス可能な情報から得られたデータの収集と分析を意味します。情報源は、新聞や雑誌、テレビやラジオ、公的機関が発表したデータ、学術研究、会議報告など、基本的に誰でもアクセス可能な情報すべてです。
このような活動は、今や主にインターネットからかき集めた情報に基づいています。過去10年から15年の間に、チャット、フォーラム、SNS、メッセンジャーなど、ネット上のコミュニケーションツール全てが、情報収集ツールとして使用されています。
OSINTを活用するのは、ジャーナリスト、科学者、市民活動家、政府や企業のアナリスト、そして諜報活動に携わる人たちなど、実に様々な業種の人たちです。一言で言えば、OSINTはデータを収集するための重要かつ効果的なツールです。おそらくより重要な問題は、そのような情報を誰がどのように利用するかでしょう。
OSINTと情報セキュリティ
OSINTは、企業への標的型攻撃を計画する際に利用されることがあります。サイバー犯罪者が作戦を成功させるためには、標的とする組織に関して膨大な情報が事前に必要だからです。
これは特に、ハイテクなツール(高価なゼロデイエクスプロイト(英語記事)、洗練されたマルウェアなど)にはあまり頼らず、ソーシャルエンジニアリングの手法に頼る攻撃者の場合に当てはまります。この種の脅威アクターは、OSINTを最も頻繁に活用します。
組織への攻撃を準備する上で、最も貴重なオープンデータのソースは、従業員のSNS上のプロフィールや画像、その他の投稿などです。中でも最も使われるのが、ビジネス用のSNSとして知られるリンクトインです。そのプラットフォームには通常、従業員の名前、役職、職歴、個人のネットワーク、その他多くの情報を知ることができ、会社の完全な組織構造もはっきりさせることができます。
OSINTがいかに効果的な手法であるかを示す例は、たくさん身近にあります。数年前、イーロン・マスク氏、ビル・ゲイツ氏、バラク・オバマ氏、ジョー・バイデン氏など、多くの著名人や企業を標的にした悪名高いX(旧ツイッター)のハッキング事件を覚えていませんか? ハッカーたちはまず、X社内のアカウント管理システムにアクセスできる同社の社員をリンクトインで見つけ、彼らと接触しました。そして、ソーシャルエンジニアリングと古き良きフィッシングの手口を使用して彼らを騙し、アカウントを乗っ取るために必要な認証情報を吐かせるという至ってシンプルな方法(英語の記事)でした。
ビジネスをOSINTから守るには
オープンソース・インテリジェンスは、主に受動的な情報収集の仕方であるため、これに対して普遍的な対策は残念ながらありません。ただ幸いなことに、私たちにもいくつかの面でできることがあります。
従業員の研修
前述のように、OSINTはSNSを主な情報源としているため、ソーシャルエンジニアリング攻撃に最も効果的だと言えます。したがって、OSINTへの備えとしては、従業員のトレーニングに目を向ける必要があります。潜在的な脅威とそれらから身を守る方法について、各自認識を高めるためのトレーニングが鍵となります。
フォーカスすべき重要な側面は二つあります。まず第一に、SNSに会社の機密情報を投稿することのリスクについて、そして第二に、従業員は、潜在的にリスクのある行動を取るよう促す電話やメールにより警戒すべきであることを繰り返し強調しましょう。そして、「潜在的にリスクのある行動」について事前に議論し、定義しておくことも大切です。たとえば、メールに実在する会社の詳細情報が書かれていたとしても、必ずしも送信者が実在する関係者であるとは限りません。そういった情報は、オープンソースから収集された可能性があるからです。
たとえば、ジョン・スミスと名乗る電話をかけてきた人が、自分はこのような役職に就いていると告げ、ユーザー名とパスワードを要求してきた場合、スミスさんがその会社で役職に就いていることが確認できたとしても、本人だと断定するには情報が不十分です。
従業員の意識を向上させるには、独自の社内トレーニングプログラムを開発して実施するか、専門家のコンサルタントを雇うかの選択肢があります。また、Kaspersky Automated Security Awareness Platformなど、インタラクティブな教育プラットフォームを利用する方法もあります。
現在進行中の脅威に関する情報について、効率よく共有するために、従業員との間で社内のコミュニケーションチャンネルを確立することも大切です。
機密情報の漏えいを防ぐには
過去10年間で、サイバー犯罪の世界は高度な専門性が求められ、役割が分担されるようになりました。ある者はマルウェアを作成し、またある者はデータを収集して、これらはすべてがダークウェブで売買され、誰かの手によって特定の攻撃に使用します。
何者かがあなたの会社に関する情報を収集しているという事実は、サイバー攻撃の脅威が差し迫っているという確実な指標です。そのため、こういった活動を監視することで、脅威に対して備え、未然に攻撃を防ぐことができる可能性も高くなります。たとえば、誰かがあなたの会社に関するデータを売りに出せば、それが後に攻撃に使われる可能性は非常に高くなります。攻撃者がどのようなデータを持っているかなど事前に情報を得ることで、社内で迅速に注意喚起を行ったり、セキュリティアナリストらを厳戒態勢に置いたりすることができます。
しかし、このようなモニタリングは、必ずしも社内で行う必要はありません。当社のKaspersky Digital Footprint Intelligenceのようにすぐに利用できるサービスもあります。このサービスは、ダークウェブ上の自社に関する言及を監視するだけではありません。Kaspersky Digital Footprint Intelligenceは、ダークウェブ上での自社に関する言及を監視するだけでなく、サプライヤーや顧客に対する攻撃を追跡したり、自社や業界に影響を及ぼす可能性のあるAPTキャンペーンを監視したり、脆弱性分析を提供したりと、さまざまな機能を備えています。
セグメンテーション、権利管理、ゼロトラスト
さらに、OSINTとソーシャルエンジニアリング手法を用いた攻撃による潜在的な被害を軽減することもできます。最も重要なのは、エンドポイントが侵害された場合に、企業ネットワーク上での拡散を制限することです。
ここでの第一要件は、適切なネットワークセグメンテーションです。つまり、企業リソースを個別のサブネットに分割して、それぞれにセキュリティポリシーと設定を定義し、その間のデータ転送を制限することです。
また、ユーザーのアクセス管理も怠らないようにしましょう。特に、最小特権の原則を実施します。つまり、ユーザーがタスクを実行するために必要なアクセス権のみを定義し、それを付与するということです。そして、ユーザーの役割や責任の変化を反映させるために、これらの権限を定期的に見直すことも重要です。
理想的なのは、ゼロトラストのコンセプトを採用することです。ゼロトラストとは、信頼ゾーンが一切存在しないことを前提とするもので、定義上、企業ネットワークの内外を問わず、信頼できるデバイスやユーザーは存在しないという考えが基になっています。
まとめ
オープンソースのインテリジェンスは、サイバー犯罪者がよく使う手口です。その危険性を認識し、潜在的な被害を軽減するための措置を講じる必要があります。以下は、OSINTから会社を守る方法についての筆者が勧める対策です。
- 従業員が攻撃者が使う様々な手口を知り、不審なメールを見抜くことができるよう、サイバーセキュリティ意識向上トレーニングを導入する。Kaspersky Automated Security Awareness Platform(KASAP)のようなオンライントレーニングを活用すれば、都合のよいときに実践形式で学習が可能です。
- 当社のKaspersky Digital Footprint Intelligenceを活用し、アンダーグラウンドの限られたコミュニティやフォーラムで公開された機密データを監視しましょう。
- ゼロトラストの導入を検討しましょう。各ユーザーには、それぞれの業務の遂行に必要な権限しか付与しないようにし、ネットワークをマイクロセグメント化しましょう。