2023年12月15日に『サイバー攻撃から企業システムを守る!osint実践ガイド』が出版されました。
目次の俯瞰
サイバー攻撃から企業システムを守る! OSINT実践ガイド
はじめに
本書のサポートサイト
免責事項
Chapter1 OSINTの基礎 インテリジェンスの歴史を紐解きデジタルOSINTの基礎を理解する
1.1 インテリジェンス
1.1.1 「インテリジェンス」とは
1.1.2 「データ」 「情報」 「インテリジェンス」の関係
1.1.3 インテリジェンスの手法
1.2 インテリジェンス手法
1.2.1 「インテリジェンス」と「インテリジェンス手法」の関係
1.2.2 インテリジェンス手法
1.3 OSINTの歴史と動向
1.3.1 軍事諜報活動とOSINT
1.3.2 OSINTと 「デジタルOSINT」
1.3.3 軍事/政治分野での 「デジタルOSINT」の活用
1.4 脅威インテリジェンス
1.4.1 脅威インテリジェンスの定義
1.4.2 脅威インテリジェンスの例
1.5 脅威インテリジェンスの分類と成果物
1.5.1 戦略的脅威インテリジェンス
1.5.2 戦術的脅威インテリジェンス
1.5.3 技術的脅威インテリジェンス
1.5.4 運用脅威インテリジェンス
1.6 デジタルOSINT (OSINT)
1.6.1 OSINTのデータソース
1.6.2 OSINTとAI
1.7 OSINT/脅威インテリジェンス関連の必修キーワード
1.7.1 loC(Indicator of Compromise)
1.7.2 TTP
1.7.3 サイバーキルチェーン (Cyber Kill Chain)
1.7.4 MITRE ATT&CK
1.7.5 SCAP
1.7.6 NVD (National Vulnerability Database)
1.7.7 CISA (Cybersecurity and Infrastructure Security Agency)
■第2章を開いて読み始める前に
Chapter 2 OSINT必携ツールの使い方 ツールを駆使して自社を守る! 22のユースケースで完全理解
2.1 ユースケース1 資産の外部公開状況を把握する
2.1.1 アクティブスキャンとパッシブスキャン
2.1.2 Shodan (ショダン)
■サポート切れのWindows PCを検索する
■複合機などPC以外の機器や画像も検索できる
■プリセットされた検索フィルターを利用する
2.1.3 情報収集を自動化する (Shodan APIの利用)
■便利なChrome拡張機能を使ってみる
2.1.4 BinaryEdge (バイナリーエッジ)
■マルウエアに感染している機器も検索できる
■メールアドレスの漏洩チェックもできる
2.1.5 Censys (センシス)
■MySQLやFTP、 Telnetサーバーなどを検索する
■IPアドレスの範囲を指定した検索
■ 他のホストとの関連性などを調べられる探索 (Explore)機能
■産業用制御系システム向けプロトコルも調査可能
2.1.6 ZoomEye (ズームアイ)
2.1.7 FOFA (フォファ)
■まとめ : 5種類の検索エンジンを比較する
2.2 ユースケース2 パスワードが漏洩していないか調査する
2.2.1 HavelBeen Pwned (ハブアイビーンポウンド)
2.2.2 DeHashed (デハッシュト)
2.2.3 BugMeNot (バグミーノット)
2.3 ユースケース3 マルウエア情報を調査する
2.3.1 VirusTotal (ウイルストータル)
2.3.2 ANY.RUN(エニー ドット ラン)
2.3.3 Joe Sandbox (ジョー サンドボックス)
2.3.4 HYBRID ANALYSIS (ハイブリッド アナリシス)
2.3.5 Intezer (インテザー)
2.4 ユースケース4 Webサイトのレピュテーションを調査する
2.4.1 aguse (アグス)
2.4.2 urlscan.io (ユーアールエルスキャンドット アイオー)
2.4.3 urlquery (ユーアールエルクエリー)
2.4.4 Sucuri SiteCheck (スクリサイトチェック )
2.4.5 URLVoid (ユーアールエルボイド)
2.4.6 AbuselPDB (アビュースアイピーディービー)
2.5 ユースケース5 ゼロデイやエクスプロイトの有無を調査する
2.5.1 Zero-day Vulnerability Database (ゼロデイバルネラビリティデータベース)
2.5.2 Published/Upcoming Advisories(パブリッシュト/アップカミング アドバイザリーズ)
2.5.3 Exploit Database (エクスプロイト データベース)
2.5.4 SecurityHome.eu (セキュリティホーム ドット イーユー)
2.5.5 Exploitalert (エクスプロイトアラート)
2.6 ユースケース6 Microsoft 月例セキュリティパッチについて情報収集する
2.6.1 Zero Day Initiative Blog(ゼロ デイ イニシアティブ ブログ)
2.6.2 Bleeping Computer (ブリーピングコンピュータ)
2.6.3 SANS Internet Storm Center (サンズ インターネットストームセンター)
2.7 ユースケース7 自社に関係する脆弱性情報を収集する
2.7.1 NVD (エヌブイディー)
2.7.2 JVN iPedia (ジェイブイエヌアイペディア)
2.7.3 Vulmon(バルモン)
2.7.4 Vulnerability Database (バルネラビリティデータベース)
2.7.5 Vumetric Cybersecurity Portal (ブメトリック サイバーセキュリティポータル)
2.8 ユースケース8 SSL/TLSのセキュリティ強度を確認する
2.8.1 SSL Server Test (エスエスエルサーバーテスト)
■Column TLSのバージョンと安全性について
2.8.2 Test TLS (テスト ティーエルエス)
2.9 ユースケース9 失効したサーバー証明書の有無を確認する
2.9.1 Entrust Certificate Search (エントラスト サーティフィケイト サーチ)
2.9.2 Certificate Checker (サーティフィケイト チェッカー)
2.10 ユースケース10 自己署名証明書 (オレオレ証明書) の有無を調べる
2.10.1 SSL/TLS Certificate Test Tool (SSL/TLS サーティフィケイト テストツール)
2.10.2 Self Signed Certificate Checker (セルフ サインド サーティフィケイト チェッカー)
2.11 ユースケース11 投稿写真から住所などを特定されないか調べる
2.11.1 Google画像検索 (グーグルガゾウケンサク)
2.11.2 Bing 画像検索 (ビングガゾウケンサク)
2.11.3 TinEye (ティンアイ)
2.12 ユースケース12 メールアドレス漏洩の有無を調べる
2.12.1 Hunter (ハンター)
2.12.2 Anymail finder (エニーメールファインダー)
2.13 ユースケース13 IPアドレスの使用場所を特定する
2.13.1 MaxMind(マックスマインド)
2.13.2 eXTReMe-IP-Lookup.com (エクストリームアイピールックアップ ドットコム)
2.14 ユースケース14 Wi-FiのSSIDが知れ渡っていないか調べる
■MEMO 「偽アクセスポイント」にも注意
2.14.1 WiGLE.net(ウィグルドットネット)
2.15 ユースケース15 Exifデータの埋め込みをチェックする
2.15.1 EXIF Data Viewer Online (エグジフデータ ビューア オンライン)
2.15.2 exifdata (エグジフデータ)
2.15.3 EXIF確認君 (エグジフカクニンクン)
■Column ローカルでExifデータを確認する方法
2.16 ユースケース16 アーカイブやキャッシュを活用する
2.16.1 Googleキャッシュ (グーグルキャッシュ)
2.16.2 Internet Archive (インターネット アーカイブ)
2.16.3 archive.today (アーカイブ ドット トゥデイ)
2.16.4 ウェブ魚拓 (ウェブギョタク)
2.17 ユースケース17 自社のIPアドレス (レンジ)を把握する
2.17.1 WhatisMyIPAddress.com (ワットイズマイアイピーアドレス ドットコム)
2.17.2 確認君 + ( カクニンクンプラス)
2.17.3 ipinfo.io (アイピーインフォ ドット アイオー)
2.17.4 IP WHOIS Lookup (アイピーフーイズ ルックアップ)
■Column IPアドレスレンジに基づくOSINT調査
2.18 ユースケース18 使用しているWebテクノロジーを把握する
2.18.1 BuiltWith (ビルトウィズ)
2.18.2 Wappalyzer (ワッパライザー)
2.19 ユースケース19 IPアドレスやドメイン名の利用履歴を調べる
2.19.1 SecurityTrails (セキュリティトレイルズ)
2.19.2 DNS History (ディーエヌエスヒストリー)
2.20 ユースケース20 送信ドメイン認証の対応状況をチェックする
2.20.1 EasyDMARC (イージーディーマーク)
2.20.2 DKIM Record Checker (ディーキムレコードチェッカー)
2.21 ユースケース21 loC情報を入手してインシデントに備える
2.21.1 Alien Vault Open Threat Exchange (エイリアンボルトオープンスレット エクスチェンジ)
2.21.2 ThreatMiner (スレットマイナー)
2.21.3 ThreatFox IOC Database(スレットフォックス アイオーシーデータベース)
2.22 ユースケース22 フィッシング関連情報を入手する
2.22.1 PhishTank(フィッシュタンク)
2.22.2 OpenPhish (オープンフィッシュ)
2.22.3 isitPhishing(イズイットフィッシング)
Chapter 3 OSINT情報の可視化 MISP と OpenCTIを導入し脅威全体を見渡す
3.1 OSINT情報の可視化
3.1.1 MISP
3.1.2 OpenCTI
3.2 OSINT情報の活用
3.2.1 戦略的脅威インテリジェンス戦術的脅威インテリジェンス
3.2.2 技術的脅威インテリジェンス 運用脅威インテリジェンス
■予防的措置
■脅威ハンティング (Threat Hunting)
3.2.3 【想定事例】 Royal Ransomwareグループから防御する
■戦略的脅威インテリジェンス戦術的脅威インテリジェンス
■技術的脅威インテリジェンス 運用脅威インテリジェンス
Chapter 4 グローバルでのOSINT活用事例 実録! 脅威グループの活動追跡諸外国でのOSINT活用実態も紹介
4.1 諸外国政府機関でのOSINTの活用
4.1.1 諸外国CSIRTでのOSINTの有用性の調査 ( 2021年)
4.1.2 諸外国政府でのOSINTの活用 (2019年)
4.2 商用脅威インテリジェンス製品でのOSINTの活用
4.3 中国のAPT1に関するレポート (Mandiant社: 2013)
4.3.1 GSD第3部第2局と61398部隊の関係を特定
4.3.2 61398部隊の専門範囲
4.3.3 61398部隊のオフィス/インフラ
4.3.4 APT1 (61398部隊)の攻撃対象
4.3.5 AP1 (61398部隊) の攻撃方法
4.3.6 APT1 (61398部隊)の使用するネットワーク
4.3.7 APT1ハッカープロファイル: Ugly Gorilla (Wang Dong/汪东)
4.4 露Gamaredon (Trident Ursa) に対するサイバー作戦 (2022年)
4.4.1 SSUのレポート (Gamaredon/Armageddon Group)
4.4.2 Palo Alto社によるレポート
4.5 ウクライナ侵攻がサイバー脅威に与えた影響 (Google TAG: 2022)
4.5.1 ロシア政府が支援する脅威アクター
4.5.2 情報操作
4.5.3 サイバー犯罪
4.5.4 レポートの結論
