OSINT(Open Source Intelligence)の悪用と対策
OSINT(Open Source Intelligence)とは、誰でもアクセスできる公開情報を収集し、分析することで、特定の目的に役立つ情報を得る手法である。
個人に焦点を当てると、SNSのプロフィールや投稿、ブログ、論文、地図情報、GitHubリポジトリや会社のオウンドメディア投稿など、それぞれは独立した情報に見えても、断片を組み合わせることで個人の行動パターンや主義主張などを明らかにできる。
もちろん合法的な情報収集の範囲でもあるが、中にはOSINTで得た情報を悪用するケースもある。
サイバー攻撃への悪用
攻撃手法 | 悪用例 |
---|---|
標的型メール | SNSやWebサイトから得た名前、肩書、上司、所属組織などをもとに、特定の個人を標的とした本物そっくりのメールを送り、フィッシングする |
なりすまし | 標的型メール同様に個人に関する情報をもとに、本人になりすまして信用を得て攻撃する |
パスワード攻撃 | 過去の情報漏えいデータと公開されたメールアドレスを用いて、ID/パスワードを再利用してログインを試みる |
物理的な侵入 | SNSやブログの写真から間取りや窓からの景色、在宅時間を分析し、物理的な侵入(空き巣など)を計画する |
OSINTによる攻撃を防ぐ
- 公開範囲を制限する
- SNSやブログで所属企業、部署、役職などを出さない
- PDFやOfficeファイルなどのメタデータを削除する
- GitHubやブログなどで秘匿情報を公開しない
- SNSやブログの利用方法の見直し
- 非公開設定やフォロワーの制限を行う
- 写真に写り込む情報に注意する
- 投稿に特定の名前や時間、場所を載せすぎない
- 継続的なセキュリティチェック
- 公開している情報を定期的に見直し、不要な情報は削除する
おわりに
私は、わるいインターネットで育ったので、顔写真・本名・年齢・性別などの個人情報を晒すと、住所、学校、勤務先、過去の経歴など、過去のすべてがバレて特定されることを知っている。
だから個人に関わる情報は極力公開しないし、年齢・性別を偽ることもある。ただ、それでも一見関係ないような複数の情報を紐づけていけば私自身を特定できてしまう。
IT業界にいてネットリテラシーも他の人より高いと思うが、特定個人を騙って攻撃されたら完全に防ぐことは難しいだろう。
リスクはゼロにできなくても、意識するだけで対策できる。