OSINTの収集において見過ごされがちな要素の1つとして、「効率的で再現可能なワークフローを確立する重要性」です。
調査を無計画に進めるのではなく、慎重かつ計画的に取り組む必要があります。
OSINTの開始
まず上司や別の部門、クライアントから依頼を受け取った場合、通常業務の一環としてセキュリティ評価を実施するのが一般的です。
最も重要なことは、組織的に進め、再現可能なプロセスを持つことです。
以下は日常的に受け取るOSINT依頼の例です。
- 脅威評価(個人):個人がどのような行動を取りうるかを調査し、その能力や意図を評価します。
- 脅威評価(イベント):特定のイベントの発生前後にインテリジェンスを監視し、責任範囲内の組織や地域に及ぼす影響を評価します。誰が関与しているのか?彼らの意図は何か?利用可能なリソースへの影響範囲は?
- ターゲットプロファイル(個人):電子メールアドレス、住所、友人、趣味など、ターゲットのオンライン上のすべての存在を明らかにします。これは「デューデリジェンス調査」と呼ばれることもあります。
- ターゲットプロファイル(組織):組織のオンラインフットプリントや、全体の技術的インフラストラクチャを調査します。これは、企業、犯罪組織、または特定の目標を追求するグループが含まれます。
- 加入者特定/アカウント帰属:ドメイン、IPアドレス、またはオンラインアカウントに関連付けられた実際の人物を特定します。例えば、悪意あるウェブサイトの運営者や、そのIPアドレスを通じた不正行為者を特定する場合です。
トリアージとは、状況やミッションを評価し、最良の結果をもたらす可能性が高いアプローチを計算するプロセスです。
OSINT調査を行う際の一般的な間違いは、明確な計画や方向性がないまま行動に移ることです。
調査の冒頭で時間をかけて、適切な回答につながる生産的な道筋を確立するべきです。状況の緊急度に応じて、このステップは30秒から30分程度かかる場合があります。
重要なのは、攻撃計画を作成し、インターネット上で目的もなくさまようのではなく、意図を持って進むことです。
ほなほな。