OSINT（オシント）とは、一般公開されているあらゆる情報源からアクセス可能な情報を収集・分析を行う手法を指します。OSINT（オシント）はサイバー攻撃に悪用されることもあり、サイバーセキュリティの面でも近年注目を集めています。

この記事では、OSINT（オシント）についての解説と、情報漏洩を確認できるOSINT（オシント）ツール、情報漏洩を未然に防ぐための対策について紹介しています。

＼入力から送信まで3分で簡単に完了／

OSINTとは

OSINTとは「Open Source Intelligence（オープンソース・インテリジェンス）」の略称で、本来、国家安全保障上の諜報活動に活用されてきた手法です。

ニュースやテレビ・ラジオ・SNSなど「合法的に入手できる資料」を「調べて突き合わせる」手法で、米国国防総省（DoD）によって、「特定の情報要件に対処する目的で、一般に入手可能な情報を収集し、利用し、適切な対象者に適時に普及させた情報」と定義されています。

OSINTの手法

OSINTの手法は様々ですが、例としては以下が挙げられます。

• 新聞・ニュースの断片・人事の異動発令・発表報道などの情報収集
• 組織プレスリリース・組織トップのインタビュー記事・組織のWebサイト・従業員のSNSから情報を収集
• セキュリティベンダの公開レポート、IoC情報公開サイト、セキュリティアナリストの発表資料、SNSなどの情報収集

上記のように、OSINTの手法は様々で、その目的によって手段であるOSINTの手法は変化します。また、公開情報の収集を補助するOSINTツールも流通しています。

OSINTは違法なのか？

OSINTの利用は一般に公開されている情報を収集・分析するため、違法ではありません。ただし、特定の企業（ターゲット）に対しての攻撃行為・スキャンツールを使用し情報を収集する行為は違法となります。

OSINTの対象行為と違法行為の例は以下の通りです。

OSINTの対象行為

• 企業のウェブサイトを閲覧する
• 第三者がスキャンツールを使って収集した情報を公開しているサイトから情報を収集する
• WebサイトからSSL/TLS証明書を取り出し、サブドメインを特定する
• SNSに公開されている企業・従業員情報を収集する
• インタビュー記事や企業のプレスリリースから情報を収集し、ライバル企業の企業戦略を予測する

OSINTの違法行為

以下の行為を許可なく実行した場合は違法になります。

• 企業のウェブサイトに対するブルートフォース攻撃
• 企業のサブドメインに対するブルートフォース攻撃
• スキャンツールを使って直接ターゲット企業から情報を収集する
• 違法な情報源から情報を購入する

ブルートフォース攻撃とは、「ブルートフォースアタック」「総当たり攻撃」「力任せ攻撃」とも呼ばれ、主にパスワードを不正に入手するために用いられます。

パスワードの考えられる全てのパターンを試み、完全に合致する文字列を割り出す手法です。

OSINTの注意点

OSINTを活用する上で、法律やモラルの観点から注意すべき点があります。前提としてOSINTは公開情報から情報を収集する手法ですが、公開されている情報を無制限に利用できるわけではないという事です。

例として、個人情報の利用が挙げられます。SNSの投稿から特定した個人情報は、一般に公開されているものの、許可なく利用して良い訳ではありません。場合によってはプライバシー侵害となり法に触れる可能性があります。

また、SNSに公開されている画像等、著作権により保護されている情報であれば、引用元の引用条件に従う必要があるでしょう。

インターネット上は数多くの情報で溢れていますが、その中にはフェイクの情報も少なくありません。OSINTを活用する際は、正しい情報を適切に判断することが求められます。

OSINTを活用する際は、OSINT調査の実績や経験が豊富で十分な知識を有している専門業者へ依頼することをおススメします。

＼相談件数39,451件以上　24時間365日受付／

サイバー攻撃者がOSINTを悪用するケース

OSINTは悪用されるケースもあります。インターネット上に公開されている情報は、サイバー攻撃者が悪意を持ってアクセスすることも可能な為です。

例えば、標的型メールの作成に悪用される場合、標的型メールを正規のメールに擬態させるための情報収集にOSINTが活用できます。

また従業員の個人情報を検索し、社内ネットワークの管理者権限を持っている人物を特定し、標的型攻撃のターゲットとすることが可能です。

OSINTはサイバー攻撃をより巧妙にするための大きな手段となります。

個人情報流出時の対応方法や原因を徹底解説個人情報漏洩・流出時の対応方法や原因・損害事例や対応方法を解説します。自社の内部情報が漏えいしてしまった場合「デジタルデータフォレンジック」で漏えいの原因や被害の規模を迅速に調査し、問題解決に貢献します。365日年中無休・相談見積無料。 ...

よく利用されているOSINTツール

OSINTを活用し、情報を検索するために一番手軽な手法はツールを使用することです。ここではよく利用されているOSINTツールを紹介します。

• Maltego
  ドメイン、IPアドレス、WEBサイト等から組織の関連性を調査するツール。ユーザーインターフェイスをグラフとして可視化できる。
• Spiderfoot
  企業や団体の公開情報を取得できるツールです。100以上の公開データソースを自動的に検索し、IPアドレス、ドメイン名、メールアドレス、名前などの情報を収集します。
• Shodan
  インターネットに接続されたデバイスを探し出すことが出来る検索エンジンです。不要なポート・サービスが公開されていないか、レスポンスに不要な情報が記載されていないかなど脆弱性を確認できる。
• OSINT Framework：OSINT.Link
  公開された情報を収集するのに活用できる。
• Have I Been Pwned
  メールアドレスを入力するだけで個人情報の流出を確認できる。
• Firefox Monitor
  「Have I Been Pwned」と同様にメールアドレスを入力するだけで個人情報の流出を確認可能。日本語に対応しているため、比較的扱いやすい。

情報漏えいが発覚した際の対応

OSINTで対象の情報が発見された際、「意図して公開している情報かどうか」を判断しましょう。意図せず公開されている情報の場合、企業が管理できていなかったとも言え、攻撃者に悪用されるリスクは高まります。

個人情報の流出を確認した場合、二次・三次被害を防ぐためにも早急に適切な対応を取る必要があります。万が一情報漏えいが発覚した場合は、以下の対応を参考にしてください。

• STEP1：メールアドレスとパスワードを変更する
• STEP2：ログイン履歴を確認する
• STEP3：個人情報漏えいに関する実態調査を行う

STEP1：メールアドレスとパスワードを変更する

企業で情報漏えいが発覚したら、早急にWebサイトのアカウントなどに使用しているメールアドレスとパスワードを変更しましょう。

また、複数のサイトで同じパスワードの使用は情報が漏えいした際の被害を拡大させてしまうため、サイトごとに異なるパスワードを再設定する必要があります。

STEP2：ログイン履歴を確認する

ログイン履歴の確認が可能な場合は第三者からの不正ログインがないか確認しましょう。

Googleアカウントの場合は［セキュリティ］→［最近のセキュリティ関連アクティビティを確認］で確認可能です。

STEP3：個人情報漏えいに関する実態調査を行う

個人情報の漏えいが発覚した際は、速やかに個人情報保護委員会へ報告し、「何の情報が流出しているのか」「なぜ情報が流出したのか」その実態を調査・報告する義務があります。調査は専門のノウハウが必要であり、調査結果に信頼性を持たせるためにも第三者機関による調査が望ましいでしょう。

企業の情報漏えいインシデント対応が義務化されています

2022年4月施行の「改正個人情報保護法」では、財産的被害が生じるおそれのある個人データの漏えい等が発覚した場合、法人に以下の義務が課せられました。したがって、被害調査を行うことは再発防止のためだけでなく、個人情報取扱事業者の義務でもあります。

1. 個人情報保護委員会への報告：当該企業は、個人情報保護委員会に漏えいの報告を行う。
2. 当該個人に対する通知：当該企業は、個人情報漏えいの被害を受けた個人に通知を行う。

仮に措置命令違反や個人情報の不正流用が発生した場合、最高で1億円の罰金が科せられる可能性もあります。したがって、情報漏えい時、どの情報が、どのように漏えいしたのかを調査し、今後の対応や予防策を考える必要があります。

改正個人情報保護法に準拠した対応および被害事例はこちら

ただし、被害の調査を行う場合、法的知識や専門技術が必要です。これは自社のみで対応するのが困難であるため、フォレンジック専門家と提携して調査することをおすすめします。

＼相談から最短30分でWeb打ち合わせを開催／

企業がとるべき情報漏えい対策

OSINTを活用し、情報が漏えいしていない事を確認できたとしても、今後も被害にあわないとは言えません。組織を守るため、企業は常に情報漏えい対策を心掛ける必要があります。

企業がとるべき情報漏えい対策は以下を参考にしてください。

• 定期的なアップデートを実施する
• 複雑なID・パスワードを設定する
• 公開しているファイルのプロパティに個人情報が載っていないか確認する
• SNSに企業内部の情報がわかるような投稿をしない

定期的なOSやソフトウェアのアップデートを実施する

WindowsやMacなどOSやソフトウェアのアップデートは定期的に行いましょう。OSを含めたソフトウェアのアップデートでは基本的に以下の2点が実施されます。

1. 新しい機能の追加や強化
2. セキュリティ上の問題点や不具合の修正

古いバージョンを使い続けていると、セキュリティの脆弱性を悪用され、サイバー攻撃を受ける可能性が高まります。新しいバージョンが公開されたら都度アップデートを実施しましょう。

複雑なID・パスワードを設定する

簡単なID・パスワードは特定されて悪用されるリスクが非常に高いです。企業は従業員のID・パスワードを「ランダムな大文字と小文字を混ぜた英数字8桁以上」の難易度に設定するよう運用してください。

簡単なID、パスワードを利用してしまうと「ブルートフォース攻撃」による特定が容易となってしまいます。ブルートフォース攻撃とは、任意の文字を次々に入力し、パスワードを特定する手法です。

公開しているファイルのプロパティに個人情報が載ってないか確認する

作成した文書等を保存した際、プロパティにアカウントのユーザー名が載る場合があります。そのままWeb上へ掲載すると作成者の個人名が公開されてしまいます。

Web上へファイルを公開する際は、公開前にファイルの［プロパティ］を開き［作成者］欄に個人名が載っていないかを確認しましょう。

SNSに企業内部の情報がわかるような投稿をしない

広報用に運用しているSNSアカウントをはじめ、従業員の個人アカウントにおいてもセキュリティ対策は重要です。

企業や業務の機密情報を意図せず公開してしまい、写真等からパスワードが推測されてSNSアカウントが不正ログインされるケースもあります。

DDFのOSINT調査

DDFのOSINT調査では、ダークウェブを含めたインターネット上に漏えいした情報を早期発見し、個人情報・企業情報を悪用され不正アクセス等の二次被害にあうリスクを管理します。

• どこにデータが漏えいしたのか
• なぜデータが漏えいしたのか
• 何のデータが漏えいしたのか

上記を調査し、明らかになった情報漏えいの実態と今後の対応・対策方法をわかりやすく報告したレポートをご納品いたします。

調査可能項目

DDFのOSINT調査では、以下の項目に対して情報漏えいの実態を調査することが可能です。

• メールアドレス
• IPアドレス
• ドメイン
• URL
• 電話番号

ご報告

OSINT調査実施後、調査結果と今後推奨する対応をまとめた報告書をご納品します。ご報告内容は以下を参考にしてください。

ご報告内容

• 調査概要
• 調査結果の詳細（スクリーンショット付きで説明）
• 対応すべき事項
• 推奨対応事項

OSINT調査の費用

ペネトレーションテストの費用はIPアドレス数・期間等によって変動いたします。専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
まずはお気軽にお電話下さい。

 

＼入力から送信まで3分で簡単に完了／

OSINT調査は専門業者に相談する