OSINTについて

こんにちは!GMOインターネットの濱本です。
今回はセキュリティで必要な「OSINT」について紹介させていただきます。

1.OSINTとは

まずは初めに「OSINT」についてご説明させていただきます。
「OSINT」とは「Open Source Intelligence(オープンソースインテリジェンス)」の略なのですが、
一般的に公開されている資料や情報源からデータを収集、分析などをする諜報活動の一種です。

サイバーセキュリティの分野において、なぜこの「OSINT」が重要なのかを説明するためには、
「サイバーキルチェーンモデル」についても認識しておく必要があるためご説明させていただきます。

2.サイバーキルチェーンモデルについて

「サイバーキルチェーンモデル」とは、攻撃者の行動を以下7つのステップに分解したものとなります。

No攻撃の段階概要
1偵察インターネットなどから組織や人物の調査し、対象組織に 関する情報を取得する
2武器化偵察の結果を元に、エクスプロイトやマルウエアを作成する
3デリバリなりすましメールやマルウエアを添付したメールを送付し感染させるこで、
対象組織の内部に侵入や通信の確立などを実施する
4エクスプロイト対象者にマルウエア添付ファイルを実行させたり、
マルウエア設置サイトに誘導させるなどしてエクスプロイトコードを実行させる
5インストールエクスプロイトの成功により、標的(PC)がマルウエアに感染する
6C&CマルウエアによりC&Cサーバと通信させ、感染PC を遠隔操作し、
追加のマルウエアやツールなどをダウンロードさせることで、
感染を拡大する、あるいは内部情報を探索する
7目的の実行探し出した内部情報を、加工(圧縮や暗号化等)した後、
情報を持ち出し、証拠を隠滅します

攻撃者は上記7つのステップで情報の搾取などを実施するとされており、7つのステップの最初にあたる「偵察」の段階で使用される手法の一つが「OSINT」となります。
攻撃者は「OSINT」などで得た情報から攻撃先の特定や必要なマルウェアの作成など次のステップである「武器化」へと繋がっていき、実際に攻撃を行ってきます。

攻撃者がどういった手法や情報を元に攻撃を仕掛けて来るのか、ということを攻撃者よりも先に知っておくことで事前に対処や対策を行うことでサイバー攻撃を防止することが出来るため、今回は「OSINT」の中でも比較的簡単なものをご紹介します。

3.SHODAN(CENSYS)について

実際にサイバーセキュリティにおける「OSINT」がどういったものか、
今回はSHODANというサイトを元に説明をさせていただきます。

【URL】https://www.shodan.io/

上記URLにアクセスいただくと、下記のような画面が表示されるかと思います。

上記画面が表示されましたら、画面上部の「Search」と記載されいる箇所にサーバーIPなどを入力しましょう。
SHODANにて収集済みのデータや情報がある場合には、以下のようなに表示されます。

この時点で、該当のIP(サーバ)に関しては22番ポートや123番ポートが開いていることが確認できます。

また、該当の環境に脆弱性などがあった場合には以下のような形で画面左下に「Vulnerabilitie」として
考えられる脆弱性などが表示される場合があります。

攻撃者はこういった情報を「偵察」の段階で収集し、攻撃を仕掛けてくるのです。
では今度は、実際に攻撃が行われている実例などをお見せしたいと思います。

なお、SHODANと同様のサイトの一つとして「CENSYS」という別のサイトもあります。

【URL】https://censys.io/

SHODAN側で検出されない場合であっても、上記CENSYSなど別サイトで検出される場合もありますので、ご注意下さい。

4.攻撃を受けた例

さきほど、SHODANにて22番ポートが空いているサーバがあることをお見せしましたが、
実際のサーバ側のログを見てみると以下のような攻撃と思われる接続を確認することが出来ました。

上記は22番ポートを使用して動いているSSHの接続ログなのですが、明らかに自分ではない接続元のIPアドレスからアクセスが行われていることが確認できたため、接続元を確認してみたところ、下記海外からのアクセスであることが分かりました。

IPアドレス
192.226.244.9カナダ
186.109.86.184アルゼンチン
212.192.24.36チェキア(チェコ)

22番ポートが空いている、という情報だけでも不信なIPアドレスから攻撃などが来ることが分かります。
先ほどお見せした脆弱性のある別環境の場合には、より確実に内部に侵入するため該当の脆弱性を突く攻撃を実施してくると考えられます。攻撃者はそういった情報を「OSINT」として情報収集したのち、「武器化」しながら攻撃を仕掛けてくるのです。

5.まとめ

いかがだったでしょうか。

今回は「サイバーキルチェーン」という攻撃者側の視点も交えつつ、「SHODAN」というサイトを使用した「OSINT」という手法を説明させていただきました。

「SHODAN」などのサイトで公開されている情報に関しては、攻撃者側にとっても有益ではありますが、私たち「守る側」としても非常に有益です。それは、外部から自分たちの管理している環境が「どう見えているのか」ということを常に確認、把握しておくことで脆弱性への対策や攻撃を検知し、攻撃者のゴールである「目的の実行」を防ぐことに繋げていくことが出来るからです。


本説明が少しでもみなさんのセキュリティ改善に貢献できれば幸いです。

ブログの著者欄

濱本 直樹

GMOインターネットグループ株式会社

2009年11月にGMOインターネットグループ株式会社に入社。経歴としてはプログラマー⇒カスタマーサポート⇒インフラエンジニアを経て、現在はセキュリティエンジニアとして従事。主にSIEMを使用したログ分析業務を行う傍ら、SOCチームのリーダーとしてメンバーの育成も行う。社内ハードニングなどセキュリティに関するイベントの企画や情報発信にも携わる。

採用情報

関連記事

KEYWORD

採用情報

SNS FOLLOW

GMOインターネットグループのSNSをフォローして最新情報をチェック