第５１６号コラム「オープンソース情報の収集活動時において留意しなければならないこと」

第５１６号コラム：名和 利男　理事（株式会社サイバーディフェンス研究所　専務理事／上級分析官）
題：「オープンソース情報の収集活動時において留意しなければならないこと」

最近、サイバー攻撃対処のために、オープンソース情報を収集することが強く求められるようになってきています。この必要性について、サイバー脅威インテリジェンス（Cyber Threat Intelligence）の提供会社がさまざまな説明をしていますが、筆者なりの説明をしてみたいと思います。

「サイバー攻撃」は人間或いは組織が特定の目的を達成するために行われることが多いため、その「攻撃ベクター」（攻撃のための手段や経路）は、高度化及び巧妙化の一途を辿っています。これに対して、我々は対処するための能力やテクノロジーを高めていく必要があります。

このような攻防を少し昔のロールプレイングゲーム（ＲＰＧ）に例えると、「ストーリーを進行するにつれて倒さなければならないモンスターが強くなり難易度が上がる一方で、主人公やその仲間は、経験値等の積み上げによる能力向上や高価な装備（武器や防具等）を獲得していく」状況と類似していると言えます。

しかし、現実的な「サイバー攻撃」への対処においては、ＲＰＧと大きく異なるところとして、戦うために必要なモンスターや主人公たちの「能力諸元の情報」がまとまって提供されていません。そのため、我々は、攻撃対処のために必要な情報収集を能動的に実施していく必要があります。

また、大半のネットユーザーがつながるＳＮＳが社会的基盤となり、情報流通が活性化したことにより、（コストとリスクが高くかつ専門的な能力を必要とする）「閉鎖的情報」（クローズドソース）より、（誰でも収集可能な）「開放的情報」（オープンソース）から得られる情報のほうが、量・質ともに高くなってきています。

さまざまな専門組織から、このオープンソース情報の収集に役立つ専用のオンラインサービスやツールが提供されています。有名検索エンジンで「OSINT + Tools」で検索すると無償で利用可能なものが多数存在していることを確認することができます。

このオープンソース情報の収集は、誰でも気軽に実施できるものですが、数多くのリスクがあることを認識する必要があります。以下、筆者が実務経験上、特に留意しなければならないと感じていることを紹介します。

１．Cookieやフォームデータが不正に取得され、（情報収集をしている）個人が特定される可能性がある。

「Cookie」とは、Ｗｅｂサイト側がアクセスしてきた者が利用するブラウザに保存させるデータのことです。個人の識別や属性に関する情報を設定するために利用されることが多く、Ｅコマース等において見込み客のＷｅｂ行動を追うために利用されています。

ところが、これを異なる目的で利用する組織や個人が存在しています。有名なところでは、米国の諜報活動の実態を暴露したＣＩＡのエドワード・スノーデン元職員が暴いた、ＮＳＡによるCookieを利用した敵対者の特定活動です。
The NSA Is Using Google’s Advertising Cookies To Track Its Targets

また、Deep WebやＩＲＣの場で、悪意のある者が、アクセスした者に対して、より価値ある情報を露出しているサイトリンクに誘導して不正なスクリプトを実行させることで、Cookieに加えて「フォームデータ」や履歴まで不正に取得しようすることもあります。

「フォームデータ」とは、ブラウザのフォーム（検索窓等）に入力したデータをブラウザ内に残したもので、再入力時に自動出力し、ユーザーのフォーム入力を支援するものです。ユーザーの関心事項だけでなく、登録サイトの入力フォームの住所や電話番号も保存されることがあります。セキュリティを考慮しない入力フォームの中には、クレジットカードやパスワードまで保存させてしまうものもあります。これを不正取得する手法の一つとして、FormBookと言われるマルウェアが有名ですが、２０１７年１０月に日本を含む各国の航空宇宙業界、防衛業界、製造業に対するスピアフィッシング攻撃で利用され、一部で深刻な被害を発生させています。

この対策として、「オープンソース情報の収集に利用するプラウザは、常時プライベートモードにすること」が考えられます。筆者は、これに関連した要因も配慮した形で、「ブラウザ環境」を次のようにしています。（一部紹介）

・特定の業務サイトのみにアクセスするブラウザと、不特定多数のサイトにアクセスするブラウザを使い分ける。特に、前者は、検索出力やリンクを踏むことによる別サイトへのアクセスをしてしまう等のケアレスミスを防ぐために、徹底的に基本機能（検索機能、リンク機能等）を停止或いは削除し、アドオン（拡張機能）は一切入れない。
・特定機能を設定不能にしているブラウザは一切使用しない。そのため、Iridium Browser、Ungoogled Chromium等を好んで利用。
・データ同期、ブラウザのパスワード保存、位置情報、カメラ、マイク、使用データ収集及び転送機能等の付加的な機能は一切不許可にする。

２．悪意のあるスクリプトが実行され、ＰＣが踏み台になる可能性がある。

最近、よく発生する攻撃パターンの一つに、ブラウザが読み込んだ悪意のあるJavaScriptにより、「ファイルレス攻撃」を誘発させるものがあります。

「ファイルレス攻撃」とは、マルウェア等のファイル形態を伴わない攻撃のことを指し、悪意のあるスクリプトをメモリ空間のみ実行させて、レジストリ（Windows OSの設定、ユーザー／アプリケーション／ハードウェア等のＰＣ全体の設定情報が格納されているデータベース）に秘密裏に保存するなどして、検知回避をするものです。Windows 標準スクリプトであるWindows PowerShellを悪用した攻撃が増加しています。

オープンソース情報を積極的に収集しようとすると、不特定多数のサイトを閲覧することになるため、一般的な業務目的のサイトアクセスに比べ、このような被害に遭う確率が高くなります。

また、オープンソース情報の収集のために、さまざまなツールを利用することになりますが、ごく一部のツールに悪意のある挙動を発生させるものが紛れ込んでいる場合があります。稀に、多くのユーザーから信頼されているツールが、アップデート後に、不審な挙動を発生させることもあります。

このため、悪意のあるスクリプトの実行や外部通信を厳格に制御する環境を作ることが望ましいです。

筆者は、これに関連する要因も配慮した形で、「システム環境」を次のようにしています。（一部紹介）

・全ての業務に使用するＯＳは、厳格な設定が可能なＯＳを利用。（Lubuntu等）
・仮想化ソフトウェア（VirtualBox等）上で、業務の種類毎に仮想マシン（Ubuntu、Tails OS、Buscador、Cyborg Linux等）を使い分ける。例えば、業務目的のメールを送受信する仮想マシンでは、一切情報収集を行わない。
・使用するソフトウェアは、可能な限りターミナルベースのソフトウェアを利用。メールはMutt、パスワード管理ツールはPass、タスク管理はTaskwarrior、ＩＲＣはWeechat、マシン稼働状況（syslog等）の常時確認はconky（仮想マシン）及びtmux+iftop+top等（ホスト）、ファイル共有はtransfer.sh、ファイアウォールはＵＦＷなどを利用。その他、業務効率化のためシェルスクリプトをほぼ毎日作成（更新）して利用。

３．アクセス先のホストが、こちらのＩＰアドレスから組織やプロバイダーを識別する。

マーケティング手法の一つして、営業や販促を目的として設置したＷｅｂサイトに対するアクセスログ（ＩＰアドレス、ユーザーエージェント等）のＩＰアドレスからアクセス元のプロバイダー（地域）や企業を識別して、訪問した個人や組織（企業）に関する計測情報を得ることで、「自社の製品やサービスに興味を持つ個人や組織」や「頻繁にサイトにアクセスしていて販売見込みの高い個人や組織」を得ることができます。

価値ある情報やデータを広く無償公開しているサイトの中には、「アフェリエイト」で報酬を得る仕組みにしているところがあります。

「アフェリエイト」とは、営利企業の商品やサービスをサイトで広告宣伝することで、その成果に応じてサイトの運営者に報酬が支払われることです。その過程の中で、第三者がアクセス元に関する高度な分析を行い、営利目的で様々な用途に使われることがあります。

稀に、敵対する国における「特定事象に関心を持つ専門組織或いはその関係組織」の所在発見や特定のために、意図的にその特定事象に関する重要情報の一部を公開することがあります。さらに、特定の掲示板、ＳＮＳ、ＩＲＣ等に、そのサイトに誘導するような書き込みをすることもあります。

このような場に遭遇することはなくとも、組織内で発生したサイバーセキュティに関するインシデントに関連した動向情報や対処に関する技術情報を積極的に収集しようとすると、その情報提供側が、アクセスしてきたユーザーのＩＰアドレスから組織やプロバイダーを識別することで、どの領域でどのようなインシデントが発生したのかを把握することができます。

様々な理由や事情により、組織内での関心事項、活動内容、発生事象等を外部に漏れないようにする必要がある場合には、オープンソース情報の収集において第三者が把握するＩＰアドレスで自組織が識別される可能性があることを念頭に置く必要があります。

筆者は、これに関連する要因も配慮した形で、次のような「アクセス環境」で情報収集を行っています。（一部紹介）

・米国、ロシア、欧州のそれぞれに強い影響下にある３つのＶＰＮ事業者のサービス及びＴｏｒのみで、外部アクセスを行う。ケアレスミス防止のために、ＶＰＮ経由以外でアクセスしないようＵＦＷ（iptable）でＩＰフィルタリングを実装。特に、危険性の高いサイトへのアクセスには、いずれか２つのＶＰＮを重ねて利用するか、永世中立国（スイス等）が提供するSecure Coreモードが利用可能なＶＰＮを利用。この配慮の背景には、各国における国家としての（合法的）傍受の強化がある。
・すべての業務環境の仮想マシンに、ipblocklistのLevel1を適用。毎日１回シェルスクリプトでiptablesに流し込む。
・ＤＮＳは、安全性の高いところ（9.9.9.9、1.1.1.1、8.8.8.8をランダム利用等）に設定して、他のＤＮＳへのアクセスを拒否。
・ブラウザのUser Agentは、各アクセス毎ランダムに設定。（自作プログラムにより実装）

以上、本コラムでは、３つの留意事項を紹介しましたが、これ以外にも数多くあります。

それらを網羅的に見出すためには、最近の攻撃主体がサイバー攻撃やサイバー犯罪のために行っている偵察活動（Reconnaissance）において利用されている手法やノウハウに加え、攻撃者コミュニティで盛んに議論されている「斬新な発想やアイディア」に基づく攻撃コンセプトを把握及び理解した上で、実際のサイバー攻撃やサイバー犯罪の発生状況に対する仔細かつ徹底的なモニター活動により、その実現性の有無を見極めて対処立案及び即実装していくことが必要となります。

筆者は、このサイクルを週毎に行っていますが、まだまだ不十分と感じています。

サイバー攻撃やサイバー犯罪は、私たちの予測や想像を凌駕するペースで深刻化・複雑化しています。このコラムをお読みになられた方々から、悪意のある者らが考えている／行なっていることに負けない発想／行動に係る能力を獲得したいと感じる「仲間」が現れることを強く期待し、このコラムの締めとします。

【著作権は、名和氏に属します】