9. OSINT
9.1. OSINTの基礎知識
9.1.1. OSINTとは
OSINT(Open Source Inteligence)はインテリジェンス手法の1つであり、オープンになっている情報(インターネットを含む広範な情報源を)利用してデータ/情報を収集する活動のこと。
情報源は以下のようなものがある。
- 新聞などのメディアに載せられている公開情報
- 政府広告媒体の官報や財務資料など
- Web上で公開されている情報
- GitHubなどのソースコード
- SNS
9.1.2. その他のインテリジェンス手法
HUMINT
HUMINT(Human Inteligence)はもっとも古いインテリジェンス手法で、個人的な付き合いを利用して情報を収集する活動のこと。 政治的/軍事的/経済的な身分、ビジネスマンや観光客などの立場を利用して情報を収集する。
ある意味スパイ活動とも言える。
SIGINT
SIGINT(Signal Intelegence)は電話/無線/GPS/WI-FIなどから情報を収集する活動のこと。 以下のようなものがそれにあたる
- 電話の盗聴
- 無線LANの解読と通信傍受
- 無線傍受による相手の動向分析
DARKINT
DARKINT(Dark Web Inteligence)はダークウェブから情報を収集する活動のこと。
9.1.3. 脅威インテリジェンス
脅威インテリジェンスとは
脅威インテリジェンスは情報セキュリティの脅威に関する情報を収集・分析し、その根拠に基づいて考慮される情報・データのこと。
脅威インテリジェンスを行う主な目的は、既存の防御戦略を強化するための情報を提供し、あらゆるサイバー攻撃から企業の情報財産を保護することにある。 これを行うことで組織が脅威の兆候を早期に識別し、効果的なセキュリティ対策を講じることが可能となる。
脅威インテリジェンスの種類
種類 | 説明 |
---|---|
戦略的脅威インテリジェンス | 脅威を状況の中で捉えた概要レベルの情報 |
戦術的脅威インテリジェンス | 脅威の攻撃手順と防衛手順に関する詳細情報 |
運用的脅威インテリジェンス | 特定の攻撃に対する対策実施に利用できる情報 |
技術的脅威インテリジェンス | 攻撃が行われている具体的な痕跡情報 |
9.2. OSINTサービス
Web上で利用できるOSINT関連のサービスの紹介。
OSINT Framework
OSINTツールの紹介ページ。
9.2.1. 資産の外部公開状況の調査
Shodan
インターネットに公開されたデバイスの中からポートが開放されている機器を調べることのできるサイト。
Censys
グローバルIPアドレスから該当サーバーで利用できるプロトコルを調査したり、サーバー証明書を検索することができるサイト。 公開されているデバイスを検出、監視、分析するのに役立つ。
9.2.2. パスワード漏洩の調査
Have I Been Pwned
自分の電子メールアドレスやユーザー名/パスワードがデータ漏洩に巻き込まれたかどうかを確認するためのウェブサイト。
BugMeNot
9.2.3. ファイル/マルウェアの調査
VirusTotal
ファイルやウェブサイトのマルウェア検査を行うウェブサイト。そのファイルやウェブサイトが「マルウェアを含むかどうか」検査できる。
ANY.RUN
アップロードした検体を操作してファイルの挙動を見ることができるオンライン型のサンドボックスサービス。
Hybrid Analysis
アップロードしたファイルの挙動情報などの詳細な解析結果が得られるサービス。
Metadefender
複数のセキュリティエンジンを使用してファイルスキャンを行いマルウェアやその他の脅威を検出できるサービス。
9.2.4. WEBサイトの評価/調査
Aguse
調査したいサイトのURLや受信したメールのメールヘッダーを入力することにより、関連する情報を表示するサービス。
Aguse Gateway
ユーザの代わりにサイトアクセスを行いサイトの表示情報を画像で表示してくれるサービス。
Urlscan.io
ユーザが入力したURLに対して、代理でアクセスを行い、そのスキャン結果を公開しているサービス。
Sucuri SiteCheck
Webサイトがウイルス感染していないかのチェックができるWebサービス。
Abuse IPDB
IPを検索することで、そのIPに関する他者からの報告を確認できる。グローバルIPアドレスを調査したい場合に使用できる。
Netcraft Site Report
Webサイトがどこのサーバーで管理されてるか調査・確認できるサービス。
9.2.5. ゼロディ/エクスプロイトの有無の調査
Rapid 7
脆弱性検索エンジン。
Zero0 DAY Exploit Database
Exploit DataBase
脆弱性エクスプロイト・アーカイブ。
CX Security
最新のエクスプロイトに直接アクセスでき検索できるデータベース。
Vulnerability Lab
エクスプロイトや PoC を備えた大規模な脆弱性データベース。
ExploitAlert
インターネット上で発見されたエクスプロイトのDB。
JVN/CVE
名称 | URL | 説明 |
---|---|---|
JVN | https://jvn.jp/ | 日本の全国的な脆弱性データベース |
CVE | https://cve.mitre.org/ | CVE(共通脆弱性識別子)に基づいた脆弱性のデータベース化したもの |
CVE List | https://www.cve.org/ | CVE List |
9.2.6. SSL/TLSのセキュリティ強度の調査
SSL Server Test
Test TLS
Certificate Checker
9.2.7. 失効済みサーバ証明書の有無の調査
9.2.8. 自己署名証明書(オレオレ認証)の調査
9.2.9. 画像の出典/特定情報有無の調査
TinEye
ウェブ上で似た画像を特定しその情報や出典を調査できるサイト。
9.2.10. メールアドレスの漏洩調査
Hunter
Anymail Finder
9.2.11. IPアドレスの使用場所の調査
MaxMind
9.2.12. WIFIのESSID漏洩調査
WiGLE.NET
9.2.13. 画像情報(Exifデータ)の調査
Exif Data Viewer Online
exifdata
9.2.14. WEBサイトのアーカイブ/キャッシュの調査
Internet Archive
Googleキャッシュ
archive today
9.2.15. IPアドレス/ドメインの利用履歴の調査
SecurityTrails
DNS History
9.2.16. その他の情報に関する調査
9.3. OSINTツール
9.3.1. 資産の外部公開状況の調査
9.3.2. パスワード漏洩の調査
9.3.3. ファイル/マルウェアの調査
pdfInfo
9.3.4. WEBサイトの評価/調査
9.3.5. ゼロディ/エクスプロイトの有無の調査
Recon-ng
ウェブ上から情報を収集し分析するためのツール。脆弱性評価や攻撃可能性の調査、組織や個人のプロファイリングなどで使用される。 metasploitのようなツールなのでCUIでいろいろコマンドを打って操作を行う。
# ===============================
# 基本コマンド
# ===============================
# recon-ngの起動
# exit, backなどで終了などをする
recon-ng
# 全てのモジュールをrecon-ngにインストール
marketplace install all
# モジュールの検索を行う
module search
# ワークスペースを作成するとプロジェクト/データを効率的に分離できる
# ワークスペースの作成
workspace create <ワークスペース名>
# ワークスペースの確認
workspace list
# ワークスペースのロード
workspace load <ワークスペース名>
SpiderFoot
インターネット上の情報を収集するツール。これで集めた情報はネットワークの脆弱性やリスクを評価するために使用される。
9.3.6. SSL/TLSのセキュリティ強度の調査
9.3.7. 失効済みサーバ証明書の調査
9.3.8. 自己署名証明書(オレオレ認証)の調査
9.3.9. 画像の出典/特定情報有無の調査
exiftool
9.3.10. メールアドレスの調査
theHarvester
主に電子メールアドレスやドメインに関連する情報を収集し組織や個人のデータを見つけることのできるツール。 Netcraftと合わせて利用することでサーバに直接照会せずに情報収集できる。
9.3.11. IPアドレスの調査
9.3.12. WIFIの調査
9.3.13. 画像情報(Exifデータ)の調査
9.3.14. WEBサイトの調査
9.3.15. IPアドレス/ドメインの調査
CloakQuest3r
CloakQuest3rはCloudflareを使用してサーバーのIPアドレスを秘匿している場合にDNSの履歴やサブドメインからIPアドレスの漏えいが起きていないかを一発でチェックしてくれるツール。
使用方法は以下の通り。
9.3.16. 個人情報の調査
Metagoofil
ウェブ上からメタデータを収集するために使用されるツール。情報のリークや組織のデジタルフットプリントを評価するのに使用される。
FOCA
ウェブサイトからメタデータを取得し組織や個人のプロファイリングするツール。
SKIPTRACER
人物情報を収集して関連性を分析するツール。
CREEPY
ソーシャルメディアを中心にインターネット上から個人の情報を収集するツール。
9.3.17. その他の情報に関する調査
Maltego
調査対象のドメインやDNS名などからインターネット上の情報を収集し、その関係性を可視化できるOSINTtツール。 利用にはアカウントが必要となる。