脅威情報を管理する上で、日頃から自分のプライバシー情報が流出していないか、自組織が攻撃の対象になっていないかといった情報を収集しておきましょう。
しかし、これらのことを知ろうとしたとき、ネットニュースを眺めていても何ら情報は得られません。
昨今のOSINTの調査対象は、ディープウェブ・ダークェブといったアンダーグラウンドのフォーラムまでもが含まれるようになってきていますが、このような現状では、個人が情報収集することは実質不可能といえるでしょう。
情報収集ツールの活用
そのような時には、「SpiderFoot」といった情報収集ツールが役に立ちます。
SpiderFootのインストールと実行
SpiderFootは、以下のURLからダウンロードすることができます。
ツール名:SpiderFoot
使用目的:脅威情報の収集
入手方法:http://www.spiderfoot.net/download/
ダウンロードしたファイル(SpiderFoot-2.x.x-w32.zip)を解凍し、「sf.exe」をクリックすると、コマンドプロンプトが開き、該当プログラムが実行されます。
SpiderFootは様々なウェブサイトに対してウェブリクエストを連続的に送信し、情報収集することが出来るツールです。
そのことによって、組織内にてセキュリティ監視が実施されたり、セキュリティ製品によっては、スパイウェアと検出される可能性がありますが、その点については、自己責任で利用して頂きたいのでご注意ください。
「sf.exe」の実行後、「127.0.0.1:5001」にサービスが起動したことを確認します。
ウェブブラウザで接続し、SpiderFootの画面が表示されるかどうかで確認することができます。
起動したウェブブラウザのアドレスバーに「http://127.0.0.1:5001/」と入力すれば行えます。
SpiderFootの設定
SpiderFootでのスキャン前に設定を確認しましょう。
画面右側のアイコンから「Settings」をクリックすると、画面が切り替わります。
ここで「参照するDNSサーバはどうするか」などといった情報収集時の細かなルールを設定することができます。
また、マルウェアなどの情報収集をしたい場合にはAPIキーを入力することでVirusTotalを参照対象とすることができるので重宝します。
SpiderFootによる情報収集
使用方法は簡単です。
「New Scan」をクリックし、必要箇所に情報を入力します。
「Scan Name」には、今回実施するスキャンにプロジェクト名のようなものを設定します。
「Scan Name」の命名はなんでも良いのですが、何を調査したものかが直感的にわかるキーワードにしておくのが良いでしょう。
「Seed Target」を入力します。
これは調査をしたいキーワードのようなものです。
IPアドレスや、ドメイン名などを入力します。
入力完了したら、画面下部にある「Run Scan」をクリックします。
スキャンの状況は、「Scans」をクリックすることで表示可能です。
検出状況をスキャン中にも表示することができるので、この画面から検出結果の目安がおおよそ把握することができるでしょう。
例として2015年の日本年金機構の事案で話題となった、Cloudy Omegaに関するドメインの「sakuranorei.com」を検索してみると、「Total:11、Unique:10、Status:RUNNING、Errors:3」と複数の情報を収集することができます。
スキャンが終了したら、「Name」の列から知りたい詳細を選択し、クリックすることで詳細を確認することができます。
多くのOSINTシステムは、SpiderFootに限らず、誤検出も含めて情報収集をします。
この誤検出をいかに排除するかが今後の課題となるでしょう。