≪ Today I learned. RSS購読
公開日
タグ
Security
著者
ダーシノ

OSINT(Open Source Intelligence)の悪用と対策

OSINT(Open Source Intelligence)とは、誰でもアクセスできる公開情報を収集し、分析することで、特定の目的に役立つ情報を得る手法である。

個人に焦点を当てると、SNSのプロフィールや投稿、ブログ、論文、地図情報、GitHubリポジトリや会社のオウンドメディア投稿など、それぞれは独立した情報に見えても、断片を組み合わせることで個人の行動パターンや主義主張などを明らかにできる。

もちろん合法的な情報収集の範囲でもあるが、中にはOSINTで得た情報を悪用するケースもある。

サイバー攻撃への悪用

攻撃手法悪用例
標的型メールSNSやWebサイトから得た名前、肩書、上司、所属組織などをもとに、特定の個人を標的とした本物そっくりのメールを送り、フィッシングする
なりすまし標的型メール同様に個人に関する情報をもとに、本人になりすまして信用を得て攻撃する
パスワード攻撃過去の情報漏えいデータと公開されたメールアドレスを用いて、ID/パスワードを再利用してログインを試みる
物理的な侵入SNSやブログの写真から間取りや窓からの景色、在宅時間を分析し、物理的な侵入(空き巣など)を計画する

OSINTによる攻撃を防ぐ

おわりに

私は、わるいインターネットで育ったので、顔写真・本名・年齢・性別などの個人情報を晒すと、住所、学校、勤務先、過去の経歴など、過去のすべてがバレて特定されることを知っている。

だから個人に関わる情報は極力公開しないし、年齢・性別を偽ることもある。ただ、それでも一見関係ないような複数の情報を紐づけていけば私自身を特定できてしまう。

IT業界にいてネットリテラシーも他の人より高いと思うが、特定個人を騙って攻撃されたら完全に防ぐことは難しいだろう。

リスクはゼロにできなくても、意識するだけで対策できる。