「涙がちょちょぎれます本当に」
OSINTの収集と使用に関する「JAPANアプローチ」とは? / OSINT in Law Enforcement: A Legitimate Resource or A Sketchy Gray-Area Data?(転載)
OSINT in Law Enforcement: A Legitimate Resource or A Sketchy Gray-Area Data?
デジタル化が進むにつれ、人々は生活の多くをオンラインで過ごすようになり、その過程で、自分のアイデンティティ、活動、社会的交流などのデジタルフットプリントをインターネット上に残すようになりました。このようなパラダイムシフトは、犯罪者と法執行機関の双方に恩恵をもたらしています。犯罪者は常に革新的な犯行方法を発見し、法執行機関は捜査の解決に役立つ新たな情報資源を利用できるようになりました。
現在、法執行機関にとって最も重要な情報資源の一つがOSINT(オープンソース・インテリジェンス)です。簡単に言えば、OSINTは法執行機関の捜査能力を高め、犯罪の脅威に対する対応力を向上させるのに役立ちます。
しかし、それは何なのでしょうか?また、なぜ法執行機関ではこれほどまでに対立があるのでしょうか?
OSINTとは?
他の多くの用語と同様に、OSINTは軍の中で誕生しました。OSINTが広く受け入れられ、使われるようになったのは90年代半ばのことである。インターネットから収集されたOSINTは、今日では業界全体で使用されており、その普及を牽引しているが、OSINTの情報源には、印刷された書籍、新聞、雑誌、テレビやラジオの放送、写真など、より「伝統的」なものもある。
オープンソース・インテリジェンス」という言葉は30年以上前から使われていますが、今日に至るまで標準的な定義はありません。
しかし、英国国防省によるOSINTの定義(「公開された情報から得られた情報で、一般への配布やアクセスが制限されているもの」)や、NATOによるOSINTの定義(「公開された情報から得られた情報で、一般への配布やアクセスが制限されている他の未分類の情報」)は、法執行機関の捜査においてオープンソース・インテリジェンスがどのように利用されているかを理解するのに役立つかもしれない。
法執行機関によるOSINTの使用は合法的か?
簡単に言えば、「イエス」です。
2001年にNATOがOSINTハンドブックを作成したことで、多くの人にとってオープンソース・インテリジェンスは紛れもなく合法的なものだと考えられるようになりました。最近では、2010年にCIAが「情報は秘密でなくても価値がある」という声明を出し、OSINTが「一般に入手可能」であることに言及したことで、この地位が強化された。また、2011年には英国国防省が、偏見のない方法で作成されたOSINTは他の情報と同様に尊重され、正当なものであると述べている。
これらの声明は、法執行機関や情報機関によるOSINTの使用が制度的に正当化されていることを反映しているが、一般市民と当該組織の個々のメンバーの両方からの認識は、しばしば矛盾に巻き込まれている。
ここでは、これらの矛盾のいくつかを取り上げ、それらがOSINTの受け止め方にどのような影響を与えるかを説明する。
矛盾1:法執行機関はOSINTを使用する際に人々のプライバシーを尊重していない
法執行機関の捜査官は、OSINTに関して、特に捜査の収集と発見の段階で、隠密なアプローチを必要とすることがよくあります。しかし、隠密なアプローチといっても、捜査官が好き勝手なことをしたり、人々のプライバシーや市民的自由を侵害したりするわけではありません。それどころか、私たちよりも厳しい基準を守ることが求められているのです。
法執行機関によるOSINTの収集と使用は、1998年にケント州警察が策定した「JAPANアプローチ」や2016年の欧州一般データ保護規則(GDPR)で定義されているようなベストプラクティス、ガイドライン、規制に沿ったものでなければなりません。JAPANとは、Justified(正当な)、Authorized(認可された)、Proportionate(釣り合いのとれた)、Auditable(監査可能な)、Necessary(必要な)という5つの原則の頭文字をとったもので、捜査のためのデータ収集を管理することで、個人の公正で尊重された扱いを保証するものです。
矛盾2:法執行機関は「高レベル」のデータソースにアクセスできる
法執行機関の捜査官は、車両登録証や運転免許証、監視システムの画像など、他の政府機関が収集したデータにアクセスすることができます。また、法執行機関やその関連組織に特化した専門企業が提供するソーシャルメディア、モバイル機器、ブロックチェーンなどの情報にもアクセスできる。
このようなアクセスの違いは、一部の一般市民や活動家グループを悩ませています。最も懸念されているのは、法執行機関が画像と顔認識ソフトウェアを組み合わせて使用することで、悪用された場合、抗議活動中の監視やモニタリング活動が抑圧的な戦術に変わる可能性があることです。そこで、収集を正当化し、事後的に監査できるようにするために、これまで述べてきたさまざまな慣行やガイドラインが必要になってくるのです。
制度上の認識:OSINTは他の情報源に比べて信頼性が低い
法執行機関やその他の政府機関で働く人々がOSINTの分野をどのように認識しているかというと、OSINTは他のリソースに比べて技術的に洗練されていないと考えられがちである。例えば、英国の警察システムでは、OSINTは通常E41 Intelligenceと評価されている。そのため、それらの調査結果はあまり深刻ではないとみなされます。つまり、警察内で情報を流すことはできても、その情報源は未検証とみなされるため、その信頼性を判断することができないのである。
実際のところ、正しく責任を持って使用すれば、オープンソース・インテリジェンスは、他のインテリジェンスを検証する上で非常に有効であることが証明されています。その一例が、欧州警察の「Stop Child Abuse - Trace an Object」プロジェクトです。このプロジェクトでは、欧州警察のCSAM(child sexual abuse material)データベースをベースに、児童性的虐待の捜査を進めるためのOSINTをクラウドソースで収集しています。欧州刑事警察機構(ユーロポール)は、警察が調査しても成果が得られなかった検閲済みの画像をプロジェクトのウェブサイトに掲載し、一般の人々がそれを確認して情報を提供できるようにしています。2020年末までに、10人の被害者が特定され、2人の犯罪者が起訴されました。
法執行機関の捜査にOSINTがどのように使われているか
法執行機関によるOSINTの利用は、ソーシャルメディアに焦点を当てたものが多くなっています。より具体的には、アナリストが以下のように使用することができます。
- 関心のある人物を密かに分析・監視する
- 潜入捜査官や組み込み捜査官が偽装のために収集した既存の情報を複製する
- 人間による分析など、異なる方法やソースで収集された情報にさらなる信頼性を与える
法執行機関のチームも、サイバーセキュリティの調査にオープンソース・インテリジェンスを活用することがあります。この場合、サーフェイス・ウェブやダーク・ウェブのフォーラムや市場を監視してデータを収集することで、脅威となる人物や、マルウェアやデータ・ダンプなどのE-クライム製品の販売促進などの犯罪行為を特定するのに役立ちます。さらに調査を進めるために、OSINTアナリストは、過去のデータ侵害に含まれる情報を参照して、新しい攻撃をプロファイリングし、監視し、特定の脅威の行為者に帰属させることができます。
マルウェアが通信する悪性な通信先の情報や、侵害された URL の一覧が投稿されてくるデータベース【URLhaus】
マルウェアが通信する悪性な通信先の情報や、侵害された URL の一覧が投稿されてくるデータベース。 投稿されてくる URL は Malware Bazaar と同じくタグ付けがされているので、 毎日投稿を上から眺めるもよし、特定のキーワードを一定間隔で収集するもよしです。 例えば、「マルウェアの置き場にされてしまっている日本企業を調べたい!」と思った場合は「.co.jp」なんかで調べると大量に結果が返ってきます。
この結果を見ると、タグに Emotet があることからすでにいくつかの企業の Web サイトが侵害されて Emotet の置き場にされていることがわかります。 例え co.jp ドメインでも、通信先にこれらのドメインがあった場合は、悪性の可能性が高くなると言えるでしょう。
Contiが窃取データの販売を開始 / Conti Ransom Gang Starts Selling Access to Victims(転載)
ランサムウェアギャング「Conti」のアフィリエイトプログラムは、最近そのビジネスプランを変更したようです。Contiのマルウェアに感染し、身代金の支払いを拒否した組織は、Contiの被害者を辱めるブログに追加され、被害者から盗んだ機密ファイルを公開したり、販売したりします。しかし、この48時間の間に、サイバー犯罪シンジケートは被害者を辱めるブログを更新し、ハッキングした組織の多くにアクセス権を販売していることを示しました。
"この組織のネットワークにアクセスし、そのネットワークからデータを販売する買い手を探しています。"と、Contiのブログに掲載された最近の複数の被害者リストに挿入された、紛らわしい言葉のメッセージが書かれている。
なぜこのような変更を行ったのか、Contiがこの動きから何を得ようとしているのかは明らかではありません。また、今後、機密データを抽出するためにアクセス権を販売する予定であるならば、なぜ企業にハッキングしたことを宣伝するのかも明らかではありません。Contiはコメントを求められても答えませんでした。
コンピュータ・セキュリティ企業であるEmsisoft社の最高技術責任者であるFabian Wosar氏は、「事業を閉鎖しようとしていて、その前に進行中の侵害からのデータやアクセスを売りたいのではないか」と述べています。「しかし、そのようなやり方をすると、侵害が進行していることを企業に警告することになるので、いささか馬鹿げている。」
米国と欧州の政策立案者たちは、ランサムウェアの上位グループの活動を停止させるための取り組みを進めています。先日、ロイター通信は、米国政府が、ランサムウェアの関連グループであるREvilのコンピュータシステムに侵入するためのハッキング活動を行っていると報じました。REvilは、専門家によると、被害者への対応がContiと同様に攻撃的で冷酷であると言われています。さらに、REvilは、被害者のデータを売り始めた最初のランサムウェアグループのひとつです。
REvilのダークネットの被害者を辱めるサイトはオフラインのままだ。これに対し、Contiの代表者は10月22日、ロシア語のハッキングフォーラムに、REvilへの攻撃を「世界情勢における米国の一方的な、治外法権的な、盗賊まがいの行動」と非難する長文の文章を投稿した。
「このような無差別な攻撃行為を合法化する法律が、たとえアメリカ国内であっても、50州のどこかの郡であってもあるのだろうか」というのが、Contiの日記の内容です。「サーバーのハッキングは、アメリカでも、アメリカのどの管轄区域でも、突然合法になるのか?仮に、外国のサーバーをハッキングできるようなとんでもない法律があったとしましょう。サーバーを攻撃された国から見て、どの程度合法なのでしょうか?インフラは、宇宙に飛んでいるわけでも、中立国の海に浮かんでいるわけでもありません。それは誰かの主権の一部なのです。」
Contiの新しい方向性は、被害企業を交渉のテーブルに着かせるための策略に過ぎないかもしれない。
あるいは、ロシア語からの翻訳で何かが失われたのかもしれない(Contiのブログは英語で公開されている)。しかし、ランサムウェアの配布から、盗まれたデータやネットワークアクセスの販売へと移行することで、Contiは、最近、盗まれたデータを公開したり販売したりしないという約束と引き換えに企業を恐喝することに重点を置いている、多くの競合するランサムウェアのアフィリエイトプログラムと事業を一致させている可能性があります。
しかし、Digital Shadows社が最近のランサムウェアのまとめで指摘しているように、多くのランサムウェアグループは、データ漏洩サイトの管理や、盗んだデータをダークウェブ上でダウンロードできるようにホスティングすることが困難になっています。
結局のところ、1社の窃取データをTor経由でダウンロードするのに何週間もかかるとなると、たとえダウンロードが成功したとしても、交渉戦術として機密データを流出させるという脅威は、その威嚇性を失うことになります。また、ユーザーにとっても不都合なことです。その結果、一部のランサムウェアグループは、公共のファイル共有サイトを利用してデータを公開することになりました。公共のファイル共有サイトは、より高速で信頼性が高いものの、法的手段ですぐに削除されてしまいます。
また、データリークサイトは、ランサムウェアギャングに潜入するための潜在的な手段でもあります。最近、米国当局によるREvilギャングの侵害が報告されたことからも明らかです。
Digital ShadowsのIvan Righi氏は、「2021年10月17日、ランサムウェア「REvil」の代表者が、ロシア語圏の犯罪フォーラムで、彼らのデータ漏洩サイトが「ハイジャック」されたことを明らかにした」と書いています。REvilのメンバーは、未知の個人が、開発者が所有する同じ鍵を使って、REvilのウェブサイトのランディングページとブログの隠されたサービスにアクセスしたと説明した。そのユーザーは、ランサムウェア・ギャングのサーバーが侵害され、その責任者である個人が自分を「探している」と考えていた。
Mandiant社の最近のレポートによると、ContiとRyukランサムウェアの両方を実行したとされるグループであるFIN12は、データ流出を伴う攻撃では12日以上かかるのに対し、ランサムウェア攻撃を3日以内に行うことができたとのことです。
この数字を見ると、Contiは、データ流出に関する業務をより多く(もちろん有料で)外部に委託することで、時間はかからないが同じように収益性の高いランサムウェアの展開に注力しようとしているだけなのかもしれません。
「第4四半期が近づくにつれ、データ漏洩サイトの管理に関する問題が、新たなランサムウェアグループがデータ漏洩サイトを利用することを躊躇させるのか、それともこれらの問題を回避するためにどのような創造的なソリューションを生み出すのかが注目されます」とRighiは締めくくりました。「Ryukは、データ漏洩サイトを利用しなくても、ランサムウェアの脅威の中で効果的かつトッププレイヤーであり続けることを証明しています。実際、Ryukはデータ漏洩サイトやデータ流出を必要としないことで成功しています。」
タピオカ通販サイト、流出クレカ情報が不正利用された可能性(転載)
「タピオカ」を扱う通信販売サイト「タピオカワールド」が不正アクセスを受け、クレジットカード情報が外部に流出し、不正に利用された可能性があることが明らかとなった。
同サイトを運営するネットタワーによれば、同サイトに対して脆弱性を突く不正アクセスがあり、クレジットカードの名義や番号、有効期限、セキュリティコードを窃取するよう決済アプリケーションが改ざんされたという。
2020年2月14日から2021年3月29日にかけて同サイトで商品を購入した顧客226人が利用したクレジットカード情報301件が外部に流出し、不正に利用された可能性がある。2021年4月9日にクレジットカード会社から情報流出の可能性について指摘があり、問題が判明した。
外部事業者による調査は2021年8月28日に完了し、個人情報保護委員会には同月31日に報告。警察には9月1日に被害を申告した。
対象となる顧客に対しては、2021年10月25日よりメールで連絡を取り、事情を説明するとともに謝罪し、身に覚えのない請求が行われていないか確認するよう呼びかけている。
同社では、不正アクセスを受けたサイトについて2021年3月29日に閉鎖。あらたなサーバ上に新サイトを構築し、2021年4月5日より再開済みだという。
観測されたマルウェア検体を情報共有用途で一般公開しているデータベース【Malware Bazaar】
観測されたマルウェア検体を分析者に投稿してもらい、 アンチウイルスベンダーや情報セキュリティ担当への情報共有用途で一般公開しているデータベースです。 これらの投稿には、分析者がすでに「どのような攻撃で使われた検体か」をタグ付してくれているものが非常に多いです。 そのため、リアルタイムの投稿を追うだけでどのようなマルウェアが世界で飛び交っているかがパッとわかります。
オリンパス、2度目のランサムウェア攻撃で、米国などのシステムが暗号化される / Olympus 连续遭两次勒索软件攻击 在美国等多地系统被加密(転載)
日本の大手ハイテク企業であるオリンパスに対する「進行中」のサイバー攻撃は、米国政府の制裁を受けているロシアの悪意あるグループが仕掛けたものであると、攻撃について知る2人の人物が語っています。
「Macaw」は、マルウェア「WastedLocker」の新しい亜種で、どちらも2019年に米財務省から制裁を受けたロシアを拠点とする犯罪シンジケート「Evil Corp」が作成したものです。
これは、2021年9月にヨーロッパ、中東、アフリカのネットワークがBlackMatterランサムウェアに攻撃されたのに続き、この数ヶ月で2度目のランサムウェア攻撃です。 (BlackMatterはEvil Corp.との関係を知られていない)
セキュリティ企業Recorded Futureのシニア脅威アナリストであるAllan Liska氏は、「Olympusは2021年9月にBlackMatterに攻撃され、2021年10月にMacawに攻撃されました。Macawマルウェアは、ハッキングされたコンピュータに身代金請求書を残していました」とコメントしています。
オリンパスは声明で、「データ侵害の可能性」を調査していると述べました。「ダブルランサム」と呼ばれるランサムウェア・グループがよく使う手法で、ハッカーは被害者のネットワークを暗号化する前にファイルを盗み、それを脅すというものです。 解読されたファイルの身代金が支払われない場合は、ファイルがオンラインで公開されます。
オープンソースの脅威情報蓄積プラットフォーム【Open CTI】
Open CTI 自体はオープンソースの脅威情報蓄積プラットフォームで、 インターネットに接続すると他の分析者が蓄積したインテリジェンスを閲覧することができます。
Open CTI は docker image から build して内部にプラットフォームを建てる形で利用することになるのですが、 ThreatPursuit VM を利用している人は docker-compose コマンドを叩くだけで建つのですぐに利用できます。 情報の網羅性としては高いわけではなく MISP のような他イベントとの関連性の面は弱い一方、 APT の活動やばらまき型メール, マルウェア解析情報といった有力な情報も流れてくるので、1日1回 Activities をざっと眺めるだけでも損はないです。 以下のURLからデモ版を見ることができるので、興味がある人は是非クリックしてみてください!!
登録:
投稿 (Atom)