ん？OSINTって何？サイバーセキュリティ？

みなさま

サイバーセキュリティ業務などを担当している渡邊です。
今回は「OSINT」のご紹介をさせていただきます。

◆言葉の定義から

OSINT（ Open-Source Intelligence ）：サイバーセキュリティ分野の1つ 
ウェブサイト、SNS、ニュース、書籍など、一般に公開されている情報源から情報を収集・分析し、有益なインテリジェンス（分析情報）を作り出す手法。元々は軍事・諜報分野で発展し、現在ではサイバーセキュリティ、ビジネス、災害対策など、 多様な分野で活用。攻撃者と防御者、双方の視点で情報収集が行われ、脆弱性の発見や脅威の特定、対策の強化などに役立つ。

OSINT CTF（諜報活動ハッキングコンテスト）：CTF分野の1つ
公開情報源から得られる情報（Open-Source Intelligence）を収集・分析し、特定の課題（フラグ）を見つけ出すことを競う、情報セキュリティ分野の競技（Capture The Flag）。参加者はインターネット上の公開情報など、合法的にアクセス可能な情報からヒントを組み合わせ、隠された「フラグ」と呼ばれる答えを探し出すことで点数を競う。

GEOSINT（GEOGUSSR）：OSINT-CTF分野の1つ
衛星画像、航空写真、地形データを始めとした地理空間情報と分析技術を統合して、サイバーセキュリティ対策、安全保障、災害対応などの意思決定を支援する情報提供に関する取り組むコンテスト。

◆今秋国内では初開催となるOSINTカンファレンスが開催

日本初開催のOSINT（オープンソース・インテリジェンス）専門のコミュニティカンファレンス。警察・報道機関・民間企業・学術研究者・セキュリティコミュニティなど多様な分野の専門家が一堂に会し、様々な分野での最新の調査技術や事例、法的・倫理的課題について議論・共有。国内のOSINTエコシステムを育成し、情報リテラシーおよびセキュリティ意識を向上させることを目的とし、講演をはじめ参加者同士のネットワーキングやツールデモを通じて学びと交流の場を提供。
出典：https://osint.jp/2025.html

土曜日にも関わらず、180名以上の方がオンサイトで集まり開催。
感覚ですが、男性９割・女性1割、年齢層は20～50代とバラバラでした。弊社からは私含め３名が参加。

講演pickup＞

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
●「OSINT（Open Source Intelligence）で挑むサイバー犯罪」
　一般社団法人日本ハッカー協会の代表理事である杉浦隆幸氏が提唱
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
OSINT調査のプロセスと原則
サイバー犯罪調査におけるOSINTのプロセスは、まず依頼者からの情報提供を受け、次に目標設定や手法の「調整」を行う。その後、公開情報の「収集」と「分析」を行い、結果を「報告」し、合法的な範囲で活動を進める。最終的にその報告に基づいて依頼者が「実行」するという流れ。このプロセスにおいて、収集能力、情報を補完する分析手法、そして相手が求めるタイミングでの提供方法が結果に大きな差を生み出す。OSINTの限界を超えるためには、弁護士法23条の2に基づく弁護士との連携や、警察などの法執行機関との協力が不可欠とのこと。

OSINTを活用した具体的なサイバー犯罪調査　海賊版公開者の特定
海賊版を公開している人物の特定を目指す場合、目標はメールアドレス、氏名、住所、顔写真といった個人情報の特定を指す。
ウェブ・アプリ分析: whois情報だけでなく、Wappalyzerのようなブラウザプラグインを使用してウェブページの技術的特性を分析。ウェブサイトのガードがそれほど高くない場合、この手法は有効。
掲示板情報の分析: Discord、Reddit、X（旧Twitter）、Googleマップなどの掲示板やSNSを深く探る。特に開発系の人物はGitHubのコミットログなどで匿名化が不十分な場合が多く、重要な情報源となることがある。
Whats My Name Web: 開発者がゲーム関連の活動をしていることも多いためこのようなツールも活用。

仮想通貨詐欺の調査
仮想通貨詐欺の追跡は、詐欺の証明が非常に困難であり、被害者自身が詐欺に遭ったことに気づいていないケースも多いため、複雑な課題を伴う。

• 詐欺手口: セミナー集客による投資詐欺や、InstagramからLINEへ誘導するロマンス詐欺（特に東南アジア発が多く、追跡が難しい）などがある。
• 追跡方法: ウォレットへの送金、複数のアドレスを経由した送金、そして取引所への送金といった複雑な送金パターンを理解し、可視化することが重要。匿名性が高くても、取引所への送金履歴から受け取り側の情報が照会できる場合がある。
• 証拠収集: SNS上での記念写真など、詐欺師と関係者の証拠となる情報を収集。人的ネットワークもこのような追跡において非常に重要。

ランサムウェア攻撃の追跡
ランサムウェア攻撃では、攻撃者が.onionサイトのような匿名性の高いネットワークを使用するため、サーバーのIPアドレス特定は極めて困難かつ高額な費用を要する。その為、氏名、電話番号、住所、メールアドレスの特定を目指す。例えば、アサヒグループなどを標的とした「Qilin（キーリン）」のようなランサムウェア攻撃事例では、以下のような多角的な手法が用いられた。

1. IPアドレスの特定: 攻撃関連のIPアドレスが特定できた場合、Whois情報を利用して「コンスタントカンパニー」などのレンタルクラウド事業者、さらにはその先のレンタルサーバー事業者、ユーザーアカウントへと辿る。
2. 仮想通貨取引: 攻撃者が仮想通貨での取引を行う場合、匿名性が高いため追跡が困難だが、特定の情報から突破口を見出すこともある。
3. ネットワークスキャン: Nmapなどで全ポートをスキャンし、不審な挙動を探る。
4. 匿名通信アプリ: TOX（匿名性の高いP2Pメッセージアプリ）やJabber XMPP（Open Message App）の利用状況を調査し、IPアドレスが判明するケースもある。全ノードスキャンなどにより、攻撃者のミスを発見することもある。
5. 公開情報からのヒント: ロシアの有名ハッカーフォーラム「EXPLOIT.IN」の利用形跡や、ウォーターマークのないツールの使用など、攻撃者のわずかなミスや特徴を見つけ出すことが重要。

証拠の保全と信頼性
調査においては、公開されている情報を公的な形で提示し、その情報が再現可能であることを示すことで信頼性を獲得する。もちろん、法的な証拠保全も徹底して行われる。OSINTには無償で利用できるウェブサービスも多く存在するため、これらを試しながら活用することも有効。OSINTは、サイバー犯罪対策において、公開情報から攻撃者の痕跡を追跡し、その実態を解明するための強力な手段とるが、しかしその効果を最大化し、倫理的・法的な問題をクリアするためには、多角的な専門知識と法執行機関との密接な連携が不可欠であると締めくくった。



◆上記のように国内でもOSINTに関する活動が活発になってきていると感じます。
　これらのOSINT活動をチームで行う上でのメリットは以下の様な事が挙げられると思います。
＝＝＝
1. チームビルディングの促進
社員同士がコミュニケーションを取りながら、知識を共有し協力して問題を解決することで、チームの結束力を高めることができる。

2. 国際的な知識の向上
国際的な取引や海外の顧客とのやり取りがある場合、地理的・文化的な理解が深まることで、より効果的なコミュニケーションが可能になる。

3. 問題解決能力の向上
限られた情報から正確な場所を推測する必要がある。問題解決能力を鍛えるのに役立つ。情報を分析し、論理的に考える力を養うことができるため、業務上の課題に応用できる。

データ取得の課題
衛星画像の公開頻度、日本企業を含む多様な情報源の確保、複数プラットフォームの活用、そして多岐にわたる関心領域と具体的な情報要求への対応。

技術と分析の課題:
大量の画像データに対するAI分析の活用が不可欠ですが、その信頼性確保と検証方法の確立が求められます。また、ディープフェイクのような偽情報の識別も重要。

4. 創造的思考の促進
ツールを通じて、参加者はさまざまな視点から考える必要がある。これにより、創造的な思考が促進され、新しいアイデアやアプローチを生み出す助けになる。特にマーケティングやプロジェクト企画において、柔軟な発想が求められる場面で役立ちます。

5. 有意義な学習体験の提供
社員のモチベーションを高める上でOSINTツールは有効。地理や文化についての理解を深めることができるため、社員の満足度向上にも寄与する可能性もある。
＝＝＝
EXEO-CTFチームメンバーが、OSINT-CTF大会への参加も予定していますのでまた発信したいと思います！
それではまた。

↓EXEO-CTFチームメンバー参加予定の「Open xINT CTF 2025」

出展：https://www.avtokyo.org/avtokyo2025