OSINT

OSINT（Open Source Intelligence：オープンソースインテリジェンス）とは、一般に公開されている情報源（Webサイト、ソーシャルメディア、政府公開データ、ニュース記事、学術論文など）から体系的に情報を収集・分析・活用する諜報活動手法です。元々は軍事・政府機関のインテリジェンス活動に由来しますが、現在ではセキュリティ分野において攻撃と防御の両面で広く活用されています。

ソーシャルエンジニアリング攻撃において、OSINTは攻撃準備段階（Reconnaissance）の中核を担います。攻撃者はターゲット組織や個人に関する公開情報を徹底的に収集し、説得力のあるフィッシングメールの作成、なりすましの資料準備、組織の脆弱なポイントの特定に活用します。LinkedIn、Facebook、Twitter/X、Instagram等のソーシャルメディア、企業のWebサイト、求人情報、プレスリリース、特許情報など、あらゆる公開情報が攻撃材料となります。

一方で、組織が自らに対してOSINTを実施する防御的OSINT（Defensive OSINT）も重要です。自社に関する情報がインターネット上にどの程度公開されているかを把握し、攻撃者に悪用される可能性のある情報の削除や管理を行います。また、WHOISやDNSの調査、Shodanによるインターネット接続デバイスの探索、Maltegoによる関係性分析など、専門ツールを活用した組織的なOSINT活動が求められています。

ソーシャルメディア偵察（Social Media Reconnaissance）

ソーシャルメディア偵察は、OSINT活動の中で最も情報量が豊富で効果的な手法の一つです。攻撃者はLinkedIn上で組織の従業員リスト、役職、所属部署、スキルセット、経歴を収集し、組織構造の全体像を把握します。さらに、Facebook、Instagram、Twitter/Xからは、個人の趣味、家族構成、旅行先、交友関係など、ソーシャルエンジニアリングに直結する情報が得られます。

特にLinkedInは攻撃者にとって「宝の山」です。従業員が投稿する業務に関する情報、使用しているツールやテクノロジーの記述、転職活動中の不満の表明などは、スピアフィッシングメールのカスタマイズや、プリテキスティングのシナリオ構築に直接活用されます。求人情報からは、組織が使用しているセキュリティ製品やITインフラの詳細を推測できます。

WHOIS・DNS調査

WHOISは、ドメイン名の登録者情報を照会するプロトコルであり、ドメイン所有者の名前、組織、連絡先、登録日、有効期限などを確認できます。プライバシー保護サービスが普及した現在でも、過去のWHOIS履歴や関連ドメインの情報から重要な手がかりが得られます。

DNS（Domain Name System）の調査では、ターゲットドメインのレコード（A、MX、NS、TXT、CNAME等）を分析し、メールサーバー、Webサーバー、サブドメインの構成を把握します。DNS列挙ツールを使ったサブドメインの探索により、テスト環境、開発環境、管理パネルなど、セキュリティが不十分なエンドポイントを発見できる場合があります。SPF、DKIM、DMARCレコードの分析からは、メールセキュリティの設定状況も判別可能です。

Shodan・Maltegoによる高度な情報収集

Shodanは、インターネットに接続されたデバイスやサービスを検索できる検索エンジンです。攻撃者はShodanを使って、ターゲット組織のIPアドレス範囲に存在するWebサーバー、IoTデバイス、産業制御システム、データベースサーバー、VPNゲートウェイなどを特定します。脆弱なバージョンのソフトウェアが稼働しているサービスや、認証なしでアクセス可能なデバイスの発見に特に有効です。

Maltegoは、OSINT情報を視覚的なグラフとして表示し、エンティティ（人物、組織、ドメイン、IPアドレス等）間の関係性を分析するツールです。ドメインから関連するIPアドレス、メールアドレス、ソーシャルメディアアカウント、関連組織を自動的に探索し、攻撃対象の全体像をマッピングします。この関係性の可視化により、攻撃者は最も効果的な攻撃経路を特定できます。

ソーシャルエンジニアリング攻撃準備におけるOSINTの活用

攻撃者はOSINTで収集した情報を基に、高度にカスタマイズされたソーシャルエンジニアリング攻撃を構築します。例えば、ターゲットの従業員がSNSに投稿した出張情報を基に「出張先のホテルWi-Fi利用案内」を装うフィッシングメールを送信したり、組織の最近のプレスリリースを引用して「記者からの取材依頼」を装うなど、極めて信憑性の高い攻撃が可能になります。

また、ターゲット組織の取引先、パートナー企業、利用サービスの情報をOSINTで収集し、これらの第三者を装ったサプライチェーン型のソーシャルエンジニアリング攻撃を仕掛けるケースも増加しています。組織の公開情報が攻撃の精度と成功率を直接左右するため、防御的OSINTの重要性は増す一方です。

防御的OSINT（Defensive OSINT）

防御的OSINTは、組織が自らに対してOSINT調査を実施し、攻撃者の視点から自組織の情報露出状況を把握・管理する取り組みです。定期的なOSINT監査により、意図せず公開されている内部情報（ソースコード、設定ファイル、認証情報、内部文書など）を発見し、速やかに対処できます。

GitHub等のコードリポジトリにおけるAPIキーや認証情報の漏洩チェック、Pastebin等のペーストサイトにおける自社関連データの監視、ダークウェブにおける自社データの流出監視なども防御的OSINTの範疇に含まれます。これらの活動は、インシデントの未然防止と、攻撃者に対する情報優位の確保に不可欠です。

• 01
  組織に対する定期的なOSINT監査の実施：四半期ごとに自組織に対するOSINT調査を実施し、インターネット上に公開されている自社情報の棚卸しを行ってください。GitHubリポジトリ、ペーストサイト、ファイル共有サービスなどから漏洩している認証情報や内部文書がないか網羅的にチェックしましょう。
• 02
  従業員のソーシャルメディア利用ガイドラインの策定：業務関連情報のSNS投稿に関する明確なガイドラインを策定し、全従業員に周知してください。使用しているシステムやツール、プロジェクトの詳細、出張スケジュール、オフィスのセキュリティ設備の写真など、攻撃者に悪用される可能性のある情報の公開を制限しましょう。
• 03
  WHOIS情報のプライバシー保護とDNS設定の最適化：ドメインのWHOIS情報にはプライバシー保護サービスを適用し、不必要な連絡先情報の公開を防いでください。DNSレコードの定期的な見直しにより、不要なサブドメインの削除やテスト環境の露出排除を行いましょう。
• 04
  インターネット接続デバイスの管理と脆弱性対策：Shodanなどの検索エンジンで自社のIPアドレス範囲を定期的に検索し、意図せず外部に露出しているデバイスやサービスがないか確認してください。不必要なポートの閉鎖、デフォルト認証情報の変更、ソフトウェアの最新化を徹底しましょう。
• 05
  求人情報における技術情報の公開管理：求人広告で使用技術スタックの詳細（具体的なセキュリティ製品名、バージョン情報など）を必要以上に記載することを避けてください。攻撃者が技術スタックの情報から脆弱性を特定するリスクを軽減しましょう。
• 06
  ダークウェブ監視とデータ流出検知の導入：ダークウェブマーケットやフォーラムにおける自社データ（認証情報、顧客データ、内部文書など）の流出を継続的に監視するサービスを導入してください。流出が検知された場合の即時対応手順（パスワードリセット、影響範囲の調査、関係者への通知）を事前に整備しましょう。