最近、韓国では4年前に公共機関に提出された個人の申込書がずっとインターネット上に公開されていたため、証明写真と住民登録番号（韓国版マイナンバー）、住所、携帯電話番号などの個人情報が4年間そのまま漏洩されてきたことが確認されました。さらに、住民票謄本まで閲覧でき、個人情報が含まれている資料をPDFでダウンロードもできる状態だったそうです。特に、その公共機関が個人の重要情報が保存および流出されていたこと自体を認識していなかったので、議論の対象となりました。 個人情報を含め、機密情報が流出される原因の中で不正アクセスおよび外部からのハッキング、セキュリティ管理ミスはOSINT検索エンジンと攻撃対象領域管理ソリューションで予防できる領域です。本投稿ではOSINT攻撃対象領域管理を通じて外部からの悪意のあるアクセスを防ぎ、情報流出の現況を常時モニタリングし、迅速なセキュリティ対応を取る方法について調べます。 4年間インターネット上に漏洩されていた個人情報、PDFファイルでダウンロードすることもできた OSINTを通じた 個人情報流出 の現況とGoogle検索語を把握 ハッカーはGoogleハッキング手法で検索エンジンに漏洩された個人情報をサイバー攻撃に活用します。ウェブ基盤のGoogleハッキングとIP基盤のCriminal IPを比較した投稿を見ると、Google検索の演算子（filetype、site、inurl、intitle等）を用いて特定条件の結果を検索する方法を活用することが分かります。以下はデフォルト状態のApacheテストページをGoogleハッキング演算子で検索した結果の画面です。 Googleハッキングで検索したデフォルト状態のApacheテストページ このように、ハッカーはいくらでもGoogleで個人情報が含まれている内部サイト、各種申込書、書類を検索できます。逆に、情報を管理する立場でもGoogleハッキング手法を使用すると流出された情報を見つけ出せるが、どんな情報が流出されたか把握できずいちいち手動で探すのはけっこう手間と時間がかかる作業です。 Criminal IP ASMのOSINT機能では、Googleに流出されている企業および公共機関の情報を自動で検知し、該当情報を検索できるGoogle検索語を提供します。検知された情報のタイトル、内容、ファイルのタイプや公開の可否を確認できるので、優先順位によって履歴書、管理者ページ、テストサーバー等、個人情報が含まれた情報を迅速に削除・ブロックすることができます。 OSINTページで情報の種類やファイルタイプ、キーワード検索でフィルタリングした情報流出の現況を把握できる 企業のドメインと関連キーワードに関する情報を自動で探索するため、自社で公開された個人情報以外に他意による個人情報流出の現況も速やかに把握できます。例えば、他の機関に提出した役員の個人情報、協業した企業が管理したページで公開された個人情報まで検知できます。 攻撃対象領域管理ソリューションを通じた情報流出の潜在脅威を検知 OSINT機能で現在流出された情報を確認することほど、情報流出の可能性が高いところを事前に管理するのも重要です。Criminal IP ASMのリスクページでは、登録されたIP帯域とドメインにより、毎日自動で企業のIT資産情報がアップデートされ、IT資産のセキュリティホールとデータ流出の脅威を確認できます。 Criminal