OSINT (Open Source Intelligence、オープンソース・インテリジェンス)とは、公開された出所から収集・分析したインテリジェンス情報を意味します。インタ―ネットはそれだけで巨大なビッグデータのプラットフォームであり、集団的知性で成り立てられた空間です。メディア、Googleなどの検索エンジン、ブログ、ソーシャルメディアなど、インターネット情報のほとんどは誰にも公開されており、簡単に情報を得ることができます。公開された情報は誰でも見ることができますが、それがみんなに見られても大丈夫というわけではありません。情報の中では個人情報、国の安全、企業の機密資料など、公開されてはいけない敏感なデータを含んでいます。

OSINTは活用の目的によって多様に使うことができ、特にサイバーセキュリティの分野では続いてその必要性が台頭しています。今度の投稿では、OSINTをサイバーセキュリティに活用して潜在脅威に対応できる方法について説明します。

サイバーセキュリティでの OSINT 活用

サイバーセキュリティでOSINTは既に発生したセキュリティ事故に対する分析のみならず、潜在的なセキュリティ脅威まで予測できるほど強力です。潜在のセキュリティ脅威を予測できるOSINTベースの情報をいわゆる「サイバー脅威情報(Cyber Threat Intelligence)」といいます。サイバー脅威情報の収集の対象は「表層ウェブ(Surface Web)」から「ダークウェブ(Dark Web)」までの、全てのインターネットを対象とします。一般的にハッキング、サイバー攻撃に関する情報は主にダークウェブで発見されると思われがちですが、むしろほとんどのサイバー脅威情報は表層ウェブ(Surface Web)を通じて収集された情報です。

表層ウェブ(Surface Web)を表現したイメージ、サイバーセキュリティのOSINT情報はほとんど表層ウェブから収集される
 表層ウェブ(Surface Web)を表現したイメージ、サイバーセキュリティのOSINT情報はほとんど表層ウェブから収集される

OSINTで収集できるサイバー脅威情報

  • 国の安全・防衛産業に関する情報
  • CVEに脆弱なデバイス
  • 個人情報・データの流出(Leak)
  • インフラシステムの情報
  • 悪性コードのC2サーバー
  • サイバー犯罪およびダークウェブの情報

既に発生したセキュリティ事故はダークウェブを通じてハッカーの間で共有・取引されるのが通常ですが、潜在脅威はむしろ表層ウェブから発生します。Google、Bing、Naverのような検索エンジンに漏洩された敏感な情報、またはIPアドレス、ドメインアドレスを通じて分かる情報が、実際にハッカーが攻撃のために集める情報であるためです。ハッカーは続いて膨大なインターネットをスキャンしながら攻撃が可能な対象領域を見つけ出します。漏洩されてはいけない敏感な情報を込めたウェブページが検索エンジンに漏えいされたか、企業および機関のIPアドレスで運営されるサーバー、アプリケーション、ドメインに深刻な脆弱性がある場合などがまさにハッカーが見つけたがる脅威情報です。

なので、ハッカーのターゲットになるまで、前もって OSINT を通じてサイバー脅威情報を確認し、攻撃可能な対象領域を除くことが最近サイバーセキュリティで強調され続けています。

サイバー脅威情報でできること

IPアドレスとドメイン情報には数多い脅威情報が含まれています。IPアドレスインテリジェンスを活用すれば、保有するIPアドレスとドメインの脆弱なところを見つけられ、逆に攻撃に疑われるIPアドレスや悪性ドメインを検知して予防することもできます。

  • IPアドレス・ポートの情報:悪意を持つIPアドレスやポート、悪性コードの配布に使われたIPアドレス、バイパス用のIPアドレス(VPN、Tor等)
  • ドメイン(Domain)情報:フィッシングドメイン、サイバー犯罪のためのボイスフィッシング、スミッシングドメイン
  • SSL証明書:独自署名の悪性SSL証明書、盗難・盗用されたSSL証明書

1. IPアドレス・ポート情報で攻撃者を職別する

IPアドレスはサイバー犯罪を追跡するのにもっとも重要な必須情報である
IPアドレスはサイバー犯罪を追跡するのにもっとも重要な必須情報である

IPアドレス情報は攻撃者を職別できる要素として活用されます。悪性コードを配布するために生成されたサイトはほとんどホスティングされたIPを利用したり、正常的な国のIPではない海外のIPアドレスを使用します。そのため、IPアドレス情報の中でASN(Autonomous System Number、自律システム番号)を通じてサイバー攻撃者が好むウェブホスティングサービスを職別できます。

IPアドレスのポート情報でもすごいサイバー脅威情報が収集されます。例えば、一般的に使われるウェブサービスポートの80/HTTP、443/HTTPSまたは企業で使われる8080、8443ポートではなく、よく知られていない高い数字のポートはだいたい悪意的な目的で活用されます。

2. ドメインアドレス情報を通じた脅威の検知

ドメインアドレス情報からハッカーによって悪意的に生成されるドメインを追跡できる
ドメインアドレス情報からハッカーによって悪意的に生成されるドメインを追跡できる

ドメイン情報にも多くの脅威情報が含まれています。ドメインホスティングの情報ではフィッシングサイト、C2サーバー、悪性コードサーバーを類推できます。特に、フィッシング攻撃などに悪用される無料の国別トップレベルドメイン(.cf / .to / .tk / .pw / .ga)は悪性ドメインである可能性が非常に高いです。

悪性ドメインはほとんどIPアドレスを隠すためCloudflare CDNなどサーバーIPを隠す手法を使うこともあります。または、特定なHTTPパターン(Content-Leng :0)やRTLO URL Trick 1) を使ったりもします。

1) RTLO(Right to Left Override) : RTLOは右から左にオーバライドするユニコード(アラビア文字コード)を利用する。もし、URL経路上に「gepj.xyz」のファイル名はRTLOを適用すると「zyx.jpeg」ファイルに認識される。

3. SSL証明書分析で脅威を検知する

SSL証明書情報からハッカーによって悪意的に生成されたウェブサイトを追跡できる
SSL証明書情報からハッカーによって悪意的に生成されたウェブサイトを追跡できる

SSL証明書とは、ウェブサイトとブラウザの間で送信されるデータを暗号化し、ユーザーのインターネットの繋がりを安全に保護するための技術です。ハッカーによって悪意的な目的で作られたウェブサイトは正常的なSSL証明書がない場合がほとんどです。

証明書に署名した所有者情報を通じて発行者(Issuer、Common Name)およびSubject Name、Subject Fieldsを確認し、非公認の私設証明書か、独自的に発行した証明書かを判別することができます。または、盗難・盗用されたSSL証明書を活用してランサムウェアおよび悪性コードを合法的なプログラムに偽装しようとする攻撃も検知できます。その以外にもTLSプロトコルフィンガープリンティングプロファイリング(JARM、JA3)でコマンド制御(C2)サーバーを検知することもできます。

OSINT検索エンジン Criminal IPで見つけた悪性コードの脅威情報

サイバー脅威情報の収集のためにOSINT検索エンジンを利用することも可能であり、Criminal IP検索エンジンはIPアドレス、ドメイン、SSL証明書など様々なサイバー脅威情報を提供する検索エンジンです。

以下は実際にCriminal IP OSINT検索エンジンを用いて悪性コードの脅威情報を検知した事例です。

OSINT検索エンジンのIPアドレス情報を活用したマルウェア検知

OSINT検索エンジン Criminal IPで検知したマルウェアの「グランドミシャ
OSINT検索エンジンCriminal IPで検知したマルウェアの「グランドミシャ
OSINT検索エンジン Criminal IPで検知した情報奪取マルウェア
OSINT検索エンジンCriminal IPで検知した情報奪取マルウェア
OSINT検索エンジン Criminal IPで検知したタイタンスティーラー悪性コード
OSINT検索エンジンCriminal IPで検知したタイタンスティーラー悪性コード
OSINT検索エンジン Criminal IPで検知したコバルトストライクビーコン悪性コード
OSINT検索エンジンCriminal IPで検知したコバルトストライクビーコン悪性コード

OSINT 検索エンジンのIPアドレス情報を活用したCrypto Bot検索

HTML Bodyの本文に含まれている「deepMiner.Anonymous」キーワードを検索して探せます。
HTML Bodyの本文に含まれている「deepMiner.Anonymous」キーワードを検索して探せます。
OSINT検索エンジン Criminal IPでHTML Bodyの本文に含まれている「CoinHive」キーワードを検索した結果
OSINT検索エンジンCriminal IPでHTML Bodyの本文に含まれている「CoinHive」キーワードを検索した結果

OSINT検索エンジン Criminal IPで見つけたCVE脆弱性の情報

悪性コード以外にも、Criminal IP検索エンジンではハッカーの攻撃が発生する可能性がある深刻なCVE脆弱性の情報を保有するサーバーを探せます。

以下はCriminal IPを活用してCVE脆弱性を保有するサーバーを検知した事例です。

リモート認証バイパス脆弱性(CVE-2022-27510&CVE-2022-27518)を保有するCitrix ADC / Gatewayデバイスの検索結果
リモート認証バイパス脆弱性(CVE-2022-27510&CVE-2022-27518)を保有するCitrix ADC / Gatewayデバイスの検索結果

https://www.criminalip.io/ja/asset/search?query=%22Citrix+Gateway%22+%22c1b64cea1b80e973580a73b787828daf%22

JSハッシュ値が脆弱なCitrixアドミンウェブページを検索した結果
JSハッシュ値が脆弱なCitrixアドミンウェブページを検索した結果
リモート認証バイパス脆弱性(CVE-2022-40684)を保有するフォーティネットUTMデバイスの検索結果
リモート認証バイパス脆弱性(CVE-2022-40684)を保有するフォーティネットUTMデバイスの検索結果

https://www.criminalip.io/ja/asset/search?query=%22099f1f4fbc3320c6f8260568de9e1815%22

HTTP Etagヘッダー情報を利用して脆弱なフォーティネットUTMデバイスを検索した結果
HTTP Etagヘッダー情報を利用して脆弱なフォーティネットUTMデバイスを検索した結果

以上で紹介された事例の以外にも、Criminal IPの OSINT 、サイバー脅威インテリジェンスを活用する方法はきりがなく多いです。今すぐ、Criminal IPのタグとフィルター検索およびAPIを使用してサイバーセキュリティOSINT情報の収集を始められます。

Criminal IPデータを攻撃対象領域管理ソリューションで活用する方法についての投稿もご参照ください。

データの提供 : Criminal IP (https://www.criminalip.io/ja)

ご参照 :

攻撃対象領域管理 : 未知の資産及び脆弱性の検知