[CODE BLUE 2018] サイバー防御に活用できるOSINTの手法と実践 石井 中 [レポート] #codeblue_jp

77件のシェア(ちょっぴり話題の記事)

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは、芳賀です。

『世界トップクラスのセキュリティ専門家による日本発の情報セキュリティ国際会議』でありますCODE BLUE 2018に参加していますのでレポートします。

このブログは下記セッションについてのレポートです。

サイバー防御に活用できるOSINTの手法と実践 Presented by 石井 中

本講演では、組織の情報セキュリティ担当者およびCSIRTの担当者を主な対象として、OSINT(オープンソースインテリジェンス)の標準的な手法、講演者がCSIRTの業務で得たOSINTの実践的な手法、およびOSINTの実施例を説明する。

サイバー攻撃による被害を回避または低減するには、自組織が影響を受ける可能性のあるサイバー攻撃および脆弱性の状況を迅速かつ正確に把握することが必要である。しかし、自組織で観測した攻撃やマルウェアのみを調査したたけでは状況の全体像を把握できない。他の地域、業界、組織で先行して発生したサイバー攻撃がのちに自組織を攻撃する事例が数多くある。このため、サイバー攻撃の発生状況、脆弱性情報、攻撃者の動向など、様々な情報を幅広く収集し、活用することが必要である。この活動はOSINTと呼ばれ、サイバーセキュリティの分野で注目を集めている。

しかし、サイバーセキュリティに関する情報は多岐にわたり、またその量も膨大である。さらに情報の信頼性も多様である。このため、必要な情報を見つけ出せない、または不正確な情報によって対応を誤る、などの問題が発生する恐れがある。本講演では、これらの問題を避け、サイバー防御に効果的なOSINTの手法を提示する。

レポート

  • 石井氏は、NTT-CSIRTの中の人
  • 犯罪者、攻撃側は手を変え品を変えるので、防御する側は状況の把握が大事
  • 自組織だけで全世界の状況を把握できるか?
    • 一部の企業でしか不可能。(コスト的に)
  • ただし、公開情報を利用する事で把握しやすくなる
  • これが OSINT(オシント) であるが問題もある
    • 公開情報が少なかったり
    • 利用するための文献がすくなかったり
    • 苦労する事がある
  • OSINTによる利点
    • 世の中全体の状況を把握できる
    • 成果物を様々な関係者、コミュニティに共有できる
  • OSINTの実践的手法
    • 情報取集したものが検証できるよう複数名で構成する
    • OSINTを集める時には目的、手段、成果物、読者を明確化する
    • 情報収集を短時間でもよいので必ず毎日行う
      • ウォッチしている対象がどう変遷したか?を確認する
    • 収集する際には一次情報を確認する
    • 必要な情報の明確化と適切な情報源の選択
    • 情報収集にRSSフィーダが楽
    • ウォッチする場合には、CVE番号などで検索する
    • 分析では、情報の品質として信頼性・網羅性のチェック
    • 成果物によって分析で深堀りが必要か判断する
    • 成果物の作成
      • 読者はサイバーセキュリティの専門家とは限らない
      • 今年発見されたCPUの脆弱性「投機的実行」などは図表化で分かりやすく
      • 事前に文書構成をテンプレートにしておく
    • 成果物の配布
      • 成果物は迅速に配布するルートの確保
        • 承認ルート上で止まると配布が数時間遅れる
      • 成果物のバージョン管理も大切
        • 事態に応じてバージョンアップされる事がある
    • 成果物へのフィードバック
      • 読者からのフィードバックから改善へ
  • OSINTの事例
    • Speter, Meltdown
      • 契機 : 1月4日朝にITMediaで一報が流れた
      • 要件定義: 脆弱性の内容、深刻な被害がある場合、グループ内へ展開する内容にする - 情報収集: 日本語のITニュースサイトへ情報はなかった。発見者の説明を確認しつつ、Wiredに詳しい説明があったので、合わせて読解
      • 分析: これらを悪用するにはローカルで攻撃コードの実行が必要だと判明
      • 成果物作成と配布: 1月4日20時にグループ内に今までの内容を一報した
    • NotPetya
      • 契機: 2017/6/28朝にTwitterで大規模感染が流れた
      • 要件定義: サイバー攻撃の詳細、被害状況、原因および対策。緊急Reportを作成し、社外へ公開する事になった
      • 情報収集: 日本のIT系ニュースには詳細が無い。Fireeye、F-secureなどで詳報があった
      • 分析: 初期感染はM.E.Docの更新機能を悪用
      • 成果物作成と配布: 事前に成果物のテンプレートを活用し、すぐに生成した。
      • フィードバック: 発見した当日中に成果物を作成でき、翌日に緊急レポートを出せた
  • OSINT担当者に必要なスキル
    • 情報セキュリティの知識
    • 英語の読解力
    • 国家間の関係、ハクティビストに関する知識
    • メディアリテラシー
  • 批判的思考を用いた検証
    • 自分自身を正しいと思わずに検証する
  • 有益な情報源
    • 国内外のニュースサイト
    • 国内外のセキュリティ企業
    • 有識者のTwitterのアカウントが列記される
  • まとめ
    • OSINTにより状況を把握し、適切なサイバー防御ができる
    • OSINT を効果的に実施する手法がある
    • OSINT担当者にはサイバーセキュリティの知識、スキルだけではなく社会情勢などの知識も必要

感想

企業のCSIRTから出される緊急レポートを何気なく読んでいたが、成果物とするまでの苦労が感じられ、自分も社内へ一報を投げるとき、気にするべき点の気づきがあった。ノウハウの展開だが利用するには一朝一夕にはいかなそうだ。