攻撃シナリオの裏側：サイバーセキュリティの各フェーズで必要なOSINTフレームワークとデータソース

OSINT（Open Source Intelligence）フレームワークは、公開されている情報を収集し、分析するための無料ツールやリソースを網羅した包括的なリソースです。このフレームワークは、個人や組織が無料のOSINTツールとリソースを見つけるのを支援することを目的としています。

OSINTフレームワークは、特定のOSINTの側面を表す異なるカテゴリーに分類されています。サイバーセキュリティにおける情報収集と攻撃のためのデータソースをカテゴリー別に分類してしました。それぞれの各フェーズのカテゴリーとその説明、および使用されるデータソースを一覧化しました。

調査フェーズ

1. IT Infrastructure

   • 説明: 組織のドメインサーバーやホスト情報を収集し、攻撃の準備を行う。

   • データソース: DNS Dumpster, domainsdb, ip2whois, recon-ng

2. Archives

   • 説明: インターネット上で公開されている機密データをアーカイブされた場所から収集する。

   • データソース: WayBackMachine, weleakinfo, cryptome

3. Social Media

   • 説明: ソーシャルメディアを通じて従業員の情報や企業に関するデータを収集する。

   • データソース: Raven, Social Searcher, Social Media Monitoring Wiki

脆弱化フェーズ

1. Vulnerability Search Engines

   • 説明: インターネット上のデバイスやサービスのオープンポートや脆弱性を検索する。

   • データソース: Shodan, Censys, GreyNoise

2. Vulnerability Databases

   • 説明: 公開されている脆弱性のデータベースから情報を取得する。

   • データソース: VulnDB, NVD, CNNVD, FSTEC

3. Exploit Databases

   • 説明: 既知の脆弱性を悪用するためのエクスプロイトコードを収集する。

   • データソース: Exploit-DB, Rapid7 Exploit DB, 0 day Today

デリバリーフェーズ

1. E-Mail Addresses

   • 説明: 攻撃対象のEメールアドレスを収集する。

   • データソース: hunter, haveibeenpwned

2. Usernames

   • 説明: 攻撃対象のユーザー名を収集する。

   • データソース: namechk, thatsthem, usersearch

3. Default Passwords

   • 説明: デフォルトのパスワードを使用しているアカウントを特定する。

   • データソース: Default Password DB, Default-password Lookup, routerpasswords

エクスプロイトフェーズ

1. Office file analysis tools

   • 説明: MS Officeのファイルを解析し、マルウェアの痕跡を検出する。

   • データソース: reconstructor, Office File Analysis Tool

2. Malware Analysis Tools

   • 説明: マルウェアの分析と実行ファイルの解析を行う。

   • データソース: VirusTotal

インストールフェーズ

1. Virtualization Platforms

   • 説明: 仮想環境で攻撃をテストする。

   • データソース: VMware, VirtualBox, EdgetHTML

2. Mobile applications and services emulation

   • 説明: モバイルアプリの攻撃をシミュレーションする。

   • データソース: Genymotion, Bluestacks, Android, NoxPlayer

C&Cフェーズ

1. Security compromise notification

   • 説明: Webサイトの改ざんや侵害通知を受け取る。

   • データソース: Zone-H

2. Malware-tracking services

   • 説明: マルウェアのトラッキングサービスを使用する。

   • データソース: Malware patrol

サイバーセキュリティにおける情報収集と脆弱性の特定、攻撃の準備および実行に役立つさまざまなツールとデータベースを体系的にまとめたものです。各カテゴリーは特定のフェーズに関連し、特定のタイプのデータを収集するためのデータソースがリストされています。

OSINT(Open Source Intelligence)との関連性

OSINT（Open Source Intelligence）は、公開されている情報を収集し、分析することでインテリジェンスを生成する手法です。サイバーセキュリティにおいても、OSINTは重要な役割を果たします。以下に、先ほどのカテゴリーとOSINTの関連性を説明します。

1. IT Infrastructure: DNSやドメイン情報を収集するツールは、OSINTの一環であり、インフラの詳細を知るために使用されます。

2. Archives: ウェブアーカイブやリーク情報を利用することは、OSINTの一部であり、過去のデータや公開情報から有用な情報を得る方法です。

3. Social Media: ソーシャルメディアの分析はOSINTの主要な手法であり、ターゲットの公開情報を収集・分析します。

4. Vulnerability Search Engines: 公開された脆弱性情報を検索するエンジンもOSINTに該当し、攻撃の準備に使われます。

5. Vulnerability Databases: 公開脆弱性データベースはOSINTのリソースで、既知の脆弱性を調査します。

6. Exploit Databases: エクスプロイト情報もOSINTの一部として、攻撃手法の研究に利用されます。

7. E-Mail Addresses, Usernames, Default Passwords: これらの情報もOSINTのデータソースであり、ターゲットの特定や侵入の足がかりを探るのに役立ちます。

応用と抽象化

OSINTフレームワークは、さまざまなコンテキストで応用できます。

• サイバーセキュリティ：組織のITインフラストラクチャ内の潜在的な脅威と脆弱性を特定するため。

• 調査：法執行機関や民間調査員が個人や組織に関する情報を収集するため。

• 研究：学術研究者やアナリストが研究プロジェクトのためにデータを収集するため。

抽象化と一般化

OSINTの原則は、公開されている情報源から体系的に情報を収集する必要があるあらゆる分野に一般化できます。このフレームワークは、包括的な情報収集のために複数のツールと情報源を使用する重要性を示しています。

他のコンテキストでの再利用

• マーケティング：OSINTツールを使用して市場のインテリジェンスを収集し、消費者行動を理解するため。

• ジャーナリズム：ジャーナリストが事実を確認し、ストーリーの背景情報を収集するために使用。

• コンプライアンス：企業が規制遵守を確保するために、データ侵害やその他のセキュリティ問題を監視するために使用。

OSINT Frameworkは、これらの情報を収集するためのツールやリソースを体系的にまとめたもので、サイバーセキュリティの調査や分析において非常に有用です。