OSINTとOPSECの基礎
このセクションでは、安全なOSINTの実践方法、主要なツール、そして予算内でのOPSECについて解説します。リスクの高いサイトの特定、ファイルの分析、カナリアトークンの使用、ソックパペットの作成方法を学びます。また、調査ツールやレポート作成についても紹介し、オプションでLinuxの実習も提供し、コマンドラインスキルを習得できます。
取り上げられるトピック
- OSINTプロセス
- OPSEC
- カナリアトークン
- Hunchly
- 効果的なメモの取り方とレポート作成
ラボ
- アトリビューションの管理
- 潜在的なマルウェアへの対処
- カナリアトークン
- HunchlyとObsidian
- [オプション] Linuxコマンドライン実習
概要
情報の検索、収集、処理のためのツールや手法について詳しく説明する前に、このコースでは、これらの活動を可能な限り安全かつ効果的に行う方法について解説します。このセクションでは、OSINTプロセスの概要と分析上の落とし穴を避けるためのヒントから始めます。次に、運用セキュリティ(OPSEC)について説明します。これは単なるブラウザプラグインやVPNプロバイダーのリストではありません。アトリビューション管理において真に重要な点について考察します。ほとんどの人は予算に限りがあり、「完璧なOPSEC」を実現することはできません。主要なリスクと、合理的な予算内でそれらを軽減する方法について解説します。
OSINTの大きな部分は、新しいサイトにアクセスし、ファイルや情報をダウンロードすることです。サイトを訪問する前に既知のセキュリティリスクがあるかどうかを確認したり、ファイルを分析して悪意のあるコンテンツが含まれていないかを確認したりするために使用できる無料のオンラインリソースについて説明します。カナリアトークンの仕組みを説明し、ハンズオンラボで独自のカナリアトークンを作成します。カナリアトークンは、ユーザーの知らないうちに実際のIPアドレスやシステムに関するその他の情報を漏洩する可能性のあるファイルです。
ここ数年、架空アカウント(いわゆるソックパペット)の作成は難しくなっており、多くのサイトで実在の電話番号や顔画像などの基準が求められています。本講座では、これらの問題点を解説し、これらのアカウントを作成するための最新の方法について解説します。
本講座の最後には、整理整頓と効率性を向上させる2つのツールを紹介します。Hunchlyはオンライン調査のカタログ化に最適なツールであり、Obsidianはメモ作成など様々な用途に効果的なオープンソースツールです。また、レポート作成についても解説します。
多くのOSINT受講者は「Linuxスキルの向上」をToDoリストに挙げているため、本講座の最後にはLinuxコマンドライン演習のためのオプションラボが用意されています。これにより、これらのスキルを磨きたい受講者は、管理された環境で実践することができます。
必須のOSINTスキル
このセクションでは、検索エンジンの使用、リンクされたウェブサイトの検索、ウェブデータのアーカイブと分析、監視アラートの設定など、OPSECを念頭に置いた必須のOSINTスキルを網羅します。また、画像認識と顔認識、メタデータ、マッピングツールについても解説し、最後にオプションでランサムウェアのチャットログを分析するキャップストーン(最終課題)を実施します。
取り上げられるトピック
- OSINTリンクとブックマークの収集
- ウェブデータの収集と処理
- メタデータとマッピング
- 画像分析とリバースイメージ検索
- 顔認識と翻訳
ラボ
- インスタントデータスクレイパー
- メタデータ
- リバースイメージ検索
- 顔認識と翻訳
- 2日目キャップストーン
概要
セクション2では、業界を問わず、すべてのOSINT実践者が習得すべき基本的なスキルを幅広く紹介します。まず、厳選されたOSINTリソースリストの概要を簡単に紹介し、その後すぐにウェブの仕組みの基礎と検索エンジンの効果的な活用方法を理解していきます。同じ個人が所有・運営する他のサイトを見つける方法、サイト所有者が閲覧を希望していないコンテンツを表示する方法、そしてOPSECへの影響と、これらの作業を安全に行う方法について解説します。また、常時監視アラートを設定する理由と方法についても解説します。
ウェブサイトのコンテンツをアーカイブする方法、ウェブサイトの過去のコンテンツを表示する方法、他のサイトにあなたの代わりにウェブサイトを訪問させる方法など、複数の方法を紹介します。インターネットデータの収集と保存、そして生データを処理・分析に使用可能な形式に変換する方法について解説します。メタデータから有用な情報を収集する方法についても解説します。たとえデータが最初は重要でないように見えたり、全く表示されなかったりしても、マッピング、画像、分析に役立つサイトを紹介します。
次に、画像分析について解説し、方法論、役立つツール、そして実際の事例をいくつか紹介します。さらに、顔認識と、オンラインで人物を見つけるために使用できる実際の事例やリソースについて解説します。最後に、翻訳リソースについて解説します。
このセクションの最後には、オプションでキャップストーン(最終課題)が設けられます。参加者は、ロシアのランサムウェアグループの生のチャットログを取得し、分析に使用可能な形式に変換するプロセスを体験します。
人物調査
このセクションでは、ユーザー名、メールアドレス、電話番号、住所を調査することで、個人またはグループの調査に焦点を当てます。詐欺検出、ソーシャルメディア分析(削除コンテンツやボットコンテンツを含む)、位置情報、アカウントなしでコンテンツにアクセスする方法について解説し、プライバシーと効果的な調査手法にも重点を置きます。
取り上げられるトピック
- プライバシー
- ユーザー名と連絡先情報
- ソーシャルメディア
- 位置情報
- トレンド、感情、ボット
ラボ
- ユーザー名の調査
- Keybaseとメール
- 侵害データ
- Twitter/X
- AIの検出
概要
セクション3では、個人またはグループの調査に焦点を当てます。まずプライバシーについて説明し、次に人気サイトでユーザー名とメールアドレスを調査して個人のアカウントを発見する手法について説明します。さらに、メールアドレスが詐欺行為に関連しているかどうかを判断する方法と、メールアドレスに関連付けられた個人がいた可能性のある場所についても説明します。
多くのOSINT調査は、電話番号や住所などのセレクターから始まり、研究者はそれらのセレクターを個人またはグループに結び付ける必要があります。この調査に使用できる様々なリソースと手法について解説します。その中には、プリペイド電話番号の所有者を特定するのに役立つものも含まれています。また、さまざまな種類の侵害データと、それらをOSINTおよびサイバーディフェンダーの様々な目的にどのように活用できるかについても考察します。
このセクションの残りの部分では、高度なFacebook検索や、削除されたTwitterデータの表示方法、Twitterボットの分析方法など、ソーシャルメディアサイトに焦点を当てます。さらに、ソーシャルメディアサイトにアカウントがない場合にそのサイトのコンテンツを表示する方法、代替ソーシャルメディアサイトの検索と分析、ソーシャルメディアデータの位置情報、トレンド、感情、評判についても解説します。
ウェブサイトとインフラストラクチャの調査
このセクションでは、ウェブサイト、IPアドレス、そしてオンラインインフラストラクチャの調査について詳しく解説します。技術に詳しくない受講者でも理解しやすい内容です。主要な概念、実際のユースケース、そしてIPの位置情報、DNSレコード、WHOIS履歴、クラウドデータといった情報を明らかにするツールについて解説し、一般的なアナリストとCTIプロフェッショナルのどちらでも落とし穴を回避し、より深い洞察を得るのに役立ちます。
取り上げられるトピック
- IPアドレスと一般的なポート
- WHOISとDNS
- メールヘッダーとサブドメイン
- テクノロジーに特化した検索エンジン
- サイバー脅威インテリジェンス
ラボ
- IPアドレス調査
- WHOISとDNS
- AmassとEyewitness
- CensysとShodan
- Buckets of Fun
概要
セクション4では、ウェブサイト、IPアドレス、そしてクラウドを含むその他のインフラストラクチャの調査について解説します。「技術に詳しくない」という受講者のために、各要素とは何か、どのように機能するのかを丁寧に説明し、これらの要素が調査にどのように役立ったかを、実例を多数紹介します。このコースセクションは、技術的なトピックに重点を置いていないアナリストにとっても重要です。なぜなら、これらの技術的要素がどのように機能するかを理解しておくことで、調査中に行き詰まってしまう可能性が低くなるからです。
サイバー脅威インテリジェンスに携わるなど、テクノロジー分野に重点を置く受講者向けに、様々なツールとリソースを網羅し、以下のようなトピックについて可能な限り深く学びます。
- IPアドレスが世界のどこに位置しているか、VPN/プロキシ/Torノードであるかどうか
- IPv6が他のIPv6と異なる理由と、それが調査に役立つ理由
- 過去のWHOISデータ
- DNSレコードの理解
- 証明書の透明性が防御側と攻撃側の両方にとって優れている理由
- メールヘッダーから学べること
- 列挙と、場合によっては匿名化解除のためのサブドメイン
- ShodanやCensysなどのテクノロジーに特化した検索エンジン
- サイバー脅威インテリジェンス
- クラウド内の機密データの検出
このコースセクションでは、仕組みの理解、実世界の例やケーススタディの学習、最先端の研究の考察、そしてツールを独創的に活用して、ほとんどの人が実現可能だとは思っていなかったことを実現する方法を学びます。
自動化、ダークウェブ、大規模データセット
このセクションでは、ビジネスリサーチ、Wi-Fiフォレンジック、AI、ダークウェブ調査について解説します。大規模データセットのトリアージ、暗号資産アクティビティの追跡、コーディング不要のタスク自動化の方法を学びます。OSINTの取り組みを継続するためのリソースも提供しており、多岐にわたる実践的なトピックを網羅しています。
取り上げられるトピック
- ビジネスとワイヤレスの調査
- OSINTのためのAI
- 大規模データセットの取り扱い
- ダークウェブと暗号通貨
- 自動化と今後の展望
ラボ
- ビジネス
- ワイヤレス
- バルクデータトリアージ
- TorとPGP
- AI
概要
第5セクションでは、企業や事業の変遷に関する調査から、Wi-Fi名を用いたデジタルフォレンジックデータの拡充や位置情報の調査など、OSINTのためのワイヤレス技術の活用まで、実に様々なトピックを取り上げます。
数年前、AIは流行語でしたが、もはや過去のものとなりました。AIはインテリジェンスサイクルのあらゆる段階で活用でき、OSINTにおいてAIを効果的かつ安全に活用する方法を解説します。
OSINTに長く携わっていると、膨大な量のデータが目の前に並べられ、その中身を聞かれる機会に直面するでしょう。仕事内容によっては、既に日常茶飯事かもしれません。このセクションでは、無料または安価なリソースを使用して、大規模なデータセットを効果的かつ迅速にトリアージおよび検索する方法について説明します。
また、ダークウェブについても深く掘り下げ、その仕組み、情報の検索方法、そして期待される成果について解説します。ダークウェブに流出した侵害データのケーススタディと、ダークウェブからのダウンロードを高速化するためのテクニックについても検証します。さらに、Web 3.0とNFTに焦点を当て、暗号通貨取引を追跡できるリソースに焦点を当てた暗号通貨に関する短いセクションも設けます。
コースの終盤では、プログラミングを必要としない様々な自動化オプションについて解説します。セクションの最後の部分は「今後の展開」と題し、OSINT学習の継続に役立つ様々なリソースを紹介します。
キャップストーン:キャプチャー・ザ・フラッグ
SEC497コースのキャップストーンは、数時間にわたるイベントで、受講生は少人数のグループに分かれて協力し、架空のクライアントに対する脅威評価を作成します。コースを通して習得したスキルを様々な現場で活用します。講師は各グループにフィードバックを提供します。
