OSINT(オシント)とは? メールアドレスだけで個人情報流出を確認できる優れモノ!
OSINT(オシント)は情報収集の手法として用いられる手法ですが、サイバー攻撃者の特定や個人情報流出の検知など、近年サイバーセキュリティの面でも注目されています。
『OSINTって、サイバー攻撃で利用されるって聞いてるけど。。。』
そうなんです。
ターゲットとなる企業に属している方のメールアドレスなど、意図せずに公開されてしまっている内部データを収集し、分析することでサイバー攻撃に利用されることがあります。
逆に、企業側としては、意図せずに流出してしまっている内部情報が無いかを確認し、流出してしまっている場合は、その対策を行うことで、サイバー攻撃を未然に防ぐことがことができるため、セキュリティ分野でも注目されているというわけです。
今回、個人情報流出を確認できるOSINTツールや、流出させないための対策方法などについて詳しく解説していきます。
目次[非表示]
OSINTとは
OSINTとは「オープン・ソース・インテリジェンス」の略で、一般公開されているあらゆる情報を収集・分析し、独自の情報を得る手法です。
国家安全保障上の諜報活動に活用されてきた手法で、新聞・ニュース・Webサイト・SNSなどさまざまな情報から国や企業の方針などを予測することが目的です。
また、OSINTを活用した情報収集によって、流出している個人情報や機密情報を検出できるため、近年サイバー攻撃に対する防衛目的でも活用されています。
個人情報の流出有無を確認できるツール 4選
▽Have I Been Pwned
▽Firefox Monitor
▽ノートン ダークウェブ モニタリング
▽MIERUPASS(ミエルパス)
個人情報流出の原因は、主に置き忘れや紛失メールの誤送信などの人的ミスやサイバー攻撃によるものです。
ここでは、個人情報が流出していないかを確認できるOSINTツールを4つご紹介します。
▽アドレスを入力するだけ「Have I Been Pwned」
「Have I Been Pwned」は、個人情報が流出していないか、メールアドレスを入力するだけで確認できます。
確認手順は以下の通りです。
①トップページ入力欄にメールアドレスを入力
②入力欄右端にある「owned?」のボタンをクリック
もし入力したメールアドレスに対する個人情報が流出していれば「Oh no – pwned!」と表示され、どの情報がどこのサイトで流出しているかを検出できます。
流出していなければ「Good news – no pwnage found!」と表示されます。
▽日本語対応でわかりやすい「Firefox Monitor」
「Firefox Monitor」は、先ほど紹介した「Have I Been Pwned」と同様にメールアドレスを入力するだけで個人情報の流出を確認できるツールです。
こちらは日本語に対応しているため、比較的扱いやすいでしょう。
手順は以下の通りです。
①トップページの入力欄にメールアドレスを入力
②入力欄下部にある「データ侵害を確認する」をクリック
個人情報が流出していれば、「このメールアドレスは5個の既知のデータ侵害があります」のように件数が表示され、どの情報がどこのサイトで流出しているかを検出できます。
流出していない場合、数字の部分が「0」と表示されます。
▽ダークウェブ上を調べる「ノートン ダークウェブ モニタリング」
NortonLifeLock社が提供する「ノートンIDアドバイザー」というセキュリティソフトウェアの機能で、ダークウェブ上での個人情報流出を検出可能です。
ダークウェブとは、通常ではアクセスできない領域のWebサイトを指し、アクセスには専用ソフトを必要とします。
匿名性が高く、メールアドレスやパスワード、クレジットカード番号などが売買されています。
検出できる個人情報の項目は以下の9つです。
・メールアドレス
・電話番号
・住所
・クレジットカード
・銀行口座
・保険番号
・運転免許証
・ゲーマータグ(ゲーム上の表示名)
・SNSアカウント
ソフトウェア購入後、上記項目の情報を登録することで、ダークウェブ上で情報流出していないかを調べられます。
また、流出を検知した際には通知され、不正利用による被害にあった場合はトラブル解決のためのサポートが受けられます。
▽漏えい状況を詳細に把握できる「MIERUPASS(ミエルパス)」
『MIERUPASS』は個人情報漏えい状況の調査と監視を可能とするサービスです。
メールアドレスごとの漏えいとパスワードの状況(平文・暗号化)を可視化可能です。
調査対象が幅広いことがサービスの特徴です。
*MIERUPASSの調査対象
カテゴリ |
サイト例
|
インターネット |
Google、Yahoo、Twitter |
ダークウェブ |
ダークウェブ検索エンジン、コピーペーストサイト |
ハッカーフォーラム |
海外のハッカーフォーラム |
サイバー攻撃組織のホームページ |
ラグナロッカー等サイバー攻撃組織 |
漏えい事故調査対象 |
SNSやファイル共有サービスなどの漏えい情報 |
一般的な検索エンジンだけではなく、ダークウェブやハッカーフォーラムのような悪用されやすい情報源に流出していないか調査することができます。
メールアドレスやパスワードといったアカウント情報が漏えいしていないか調査し、調査結果をレポートにまとめて報告します。
調査レポートは、企業のセキュリティを強化するために活用することが可能です。
※ミエルパスについてさらに詳しく解説した資料はこちらからダウンロードできます。
もし個人情報が流出していたら
ツールで個人情報の流出が検出された場合、早急な対応が必要です。
ここでは、被流出者本人と情報システム部門としてとるべき具体的な対応3STEPをご紹介します。
▽STEP1:すぐにアドレスとパスワードを変更
▽STEP2:ログイン履歴を確認
▽STEP3:個人情報流出に関する実態調査
▽STEP1:アドレスとパスワードの変更処理
<本人>
まずは、自社の情報システム部に連絡し、Webサイトのアカウントなどに使用している、メールアドレスとパスワードを早急に変更する対応を行います。
また、複数のサイトで同じパスワードを使うことは、流出した際の被害を拡大させてしまうため、なるべくサイトごとに異なるパスワードを再設定する必要があります。
<情報システム部門>
被流出者からの連絡を受けた場合、早急にメールアドレス、パスワードの変更処理を行います。
もし仮に社内のセキュリティ規格における、パスワードの基準が8桁以下の場合、パスワード基準そのものを見直さなければなりません。
また、社員に複数のサイトで同じパスワードを利用させないよう、社内への啓もう活動を行っていく必要があります。
社員がパスワードを覚えきれないほど、多くのアプリケーションを業務で利用している場合は、パスワード管理ツールなどを用いた運用への変更の検討も必要です。
▽STEP2:ログイン履歴を確認
<本人もしくは情報システム部門>
Webサイトによっては、ログイン履歴を確認できる場合があります。
基本的には、こういった調査は情報システム部で行う場合が多いと思いますが、
情報システム部門の人出が足りない、情報システム部門がそもそも無い場合は
被流出者ご自身で調査をする必要があります。
たとえばGoogleでは以下の手順で、アカウントに不正ログインがなかったかを確認できます。
① Googleアカウントに移動する
②「セキュリティ」をクリック
③「最近のセキュリティ関連アクティビティを確認」をクリック
被流出者自身のものではないアクティビティが表示されていた場合、第三者によって不正ログインされた可能性があります。
STEP1を飛ばして、自身のものではないログイン履歴が確認できてしまった場合、このタイミングで必ずメールアドレスとパスワードの変更処理を行わなければなりません。
▽STEP3:個人情報流出に関する実態調査
<情報システム部門>
流出している情報がどういったものなのか、どういう不正利用が行われた可能性があるのかについて調査を行う必要があります。
*調査するべき項目は、大きく分けると以下の4点です。
・不正ログインの実態調査
・情報漏えいの有無
・マルウェア、ランサムウェア(※)への感染の有無
・影響範囲の調査
上記の様な調査をすべて社内で完結することは難しいため、専門のセキュリティ会社や調査会社に頼むことも検討しなければなりません。
また、調査や各種対応が終わった後にも、再発防止に向けた取り決めやその取り組み、社内のセキュリティポリシーの見直しなど様々やるべきことがあります。
情報セキュリティ委員会を社内で組織し、こういった有事に備えておくこともひとつの手段となるでしょう。
※ランサムウェアについて詳しくはこちら
<本人>
会社で利用しているWebサイトであれば、ほぼ無いと思いますが、もし仮に個人のクレジットカード情報を入力している場合は、自身のアカウントを使って購入されていないか、クレジットカードの不正利用がないかを確認しなければなりません。
もし、不正利用などが確認された場合は、クレジットカード会社やWebサイトの運営者などに連絡し、クレジットカードやアカウントの利用停止など適切な対応をとる必要があります。
どうして流出してしまったのか
個人情報は、OSINTの悪用によって流出する可能性があります。
OSINTの手法やターゲットとなる情報について知ることで、どうして流出してしまったのかを理解しましょう。
▽OSINTの情報収集手法
インターネット上には、一般公開されているドメイン情報からメールアドレスを特定できるOSINTツールが無料で公開されています。
OSINTツールによって得られたメールアドレスがサイバー攻撃に利用されることがあります。
たとえば、企業の公式HPに問い合わせ窓口として「△△△@aaa.com」とメールアドレスを掲載していたとします。
このメールアドレスの「aaa.com」部分(ドメイン情報)をOSINTツールに入力するだけで、サーバーアドレス・組織のメンバー名・開いているポート・ユーザー名などを収集することが可能です。
注目すべきポイントは、OSINTツールが企業のサーバーに不正アクセスしているわけではなく、検索エンジンなどの公開されている情報源から収集している点です。
何らかの人為的ミスによって情報を公開してしまうと、簡単に悪用できる情報となってしまいます。
先ほどのメールアドレスも「aaa.com」を従業員用のアドレスにも使用していた場合、OSINTツールを使って従業員の誰かのメールアドレスさえ取得されれば、マルウェアを添付したメールを送るといった攻撃対象となりかねません。
▽ターゲットとなる情報
ターゲットとなりやすい情報として以下のようなものが挙げられます。
・SNSのプロフィールや投稿内容 ・Webページのドメイン名 ・企業の公式サイトや案内パンフレット ・Web上に公開しているPDFファイル |
このように、さまざまな情報がターゲットになるため、なるべく必要以上の情報を公開しないよう、社内の情報管理も重要です。
個人情報が流出していなくても安心できない
ツールにより個人情報が流出していないことを確認できたとしても、今後も被害にあわないとは限りません。
普段から対策を心掛ける必要があります。
▽定期的なアップデートを実施する
WindowsやMacOSなどのソフトウェアを定期的にアップデートしましょう。
ソフトウェアの開発者は、セキュリティ向上のために都度新たなバージョンを公開しています。
古いバージョンを使い続けていると、セキュリティの脆弱性が発見されてから対策されるまでの間にサイバー攻撃を仕掛ける「ゼロデイ攻撃」を受ける可能性が高まります。
サイバー攻撃のターゲットにされないためにも、常に最新のバージョンにアップデートしておくことが大事です。
情報システム部門としては、全従業員の端末を定期的にアップデートさせるための仕組み作りとその管理を行っていく必要があります。
▽簡単なID・パスワードは使わない
簡単なID・パスワードは特定されやすいため使わないようにしましょう。
また、情報システム部門としては、従業員のID、パスワードを一定以上の難易度にできるよう、社内のセキュリティポリシーの適切な設定、運用管理が必要です。
簡単なID、パスワードを利用してしまうと「ブルートフォース攻撃」による特定が容易となってしまいます。
ブルートフォース攻撃とは、任意の文字を次々に入力し、パスワードを特定する手法です。
これには専用のプログラムが用いられます。短時間で大量の文字列が入力されるため「12345」のような簡単なパスワードであればすぐに特定されてしまいます。
IDやパスワードには、ランダムな大文字と小文字を混ぜた英数字8桁以上にするなどの対策を全社的にとっていく必要があります。
企業としての対策方法
OSINTによる攻撃で、企業の機密情報や従業員の個人情報が流出する可能性もあります。企業としてできる対策方法を3つご紹介します。
▽Webに掲載するPDFのプロパティに個人情報が載っていないか確認
Microsoft Officeで作った文書をPDFで保存した場合、Microsoft Officeアカウントのユーザー名がPDFファイルのプロパティに載ることがあります。
そのまま、Web上に掲載すると作成者の個人名が全世界に公開されてしまいます。
公開前に、PDFファイルの[プロパティ]を開き[作成者]欄に個人名が載っていないかを確認しましょう。
対策には、PDF変換時にプロパティの[作成者]欄を削除もしくは、会社名や部署名など公開可能な名前に変更するなどが有効です。
▽社員向けSNSガイドラインを策定
SNSはOSINTによる情報収集の標的になりやすいため、広報用に運用しているアカウントはもちろん、従業員の個人アカウントにおいてもセキュリティ対策が重要です。
とくに従業員の個人アカウントによる投稿で、企業や業務の機密情報を意図せず流出させてしまうケースは少なくありません。
「個人アカウントでは、社内業務に関する投稿を一切しない」などのガイドラインを策定して、SNS運用のルールを厳格化しましょう。
▽セキュリティ製品の購入を検討する
サイバー攻撃による情報流出被害は年々増加傾向にあり、その手口も巧妙化しています。
とくに企業における、機密情報の流出による損害は計り知れません。
そこで、企業のサイバーセキュリティを強固なものとするために、セキュリティ製品導入も一つの手です。
当然コストはかかりますが、最も効果的な対策といえるでしょう。
まとめ
今回、OSINTを活用したセキュリティ強化について解説してきました。
会社に所属している個人のメールアドレスなど、組織内における機密情報の漏えい有無を調べることで、未然にサイバー攻撃への対策を打つことができるのが特徴です。
調査の結果、情報漏えいがあった場合でも無かった場合でも、社内のセキュリティ基準を見直す良いきっかけとなります。
もし仮に社内セキュリティ基準が低いと思われる場合、セキュリティポリシーの見直しや組織体制の整備、社員への啓もう活動が必要になっていきます。
しかしながら、時間の面でもコスト面でもそれらを同時並行で行うことは現実的ではありません。
まずはOSINTツールを活用し、機密情報の漏えい有無を確認することから始めてみるのが良いのではないでしょうか。
※OSINTツールのミエルパスについて詳しく解説した資料はこちらからダウンロードできます。
■関連記事
・標的型攻撃メール訓練サービスとは? 自社で利用してみたら、3つの大きな効果があった話
・情報セキュリティの基本(cia)と3大脅威への対策とは
・情報漏洩どう防ぐ?テレワークにおける企業データの守り方!|認証・認可
※この記事は、公開時点の情報をもとに作成しています。
