社会で騙されないようにするためのOSINT
こんにちは、Sh1ttyKidsです。蚊が飛ぶいい季節になってきましたね。ところで最近は脅威インテリジェンスの会社やメディアでもダークウェブの存在が広く知られ、様々な事件などで大きく取り上げられるケースが多くなってきました。しかし、会社・メディアが公開した情報の取り扱いに気を付けておく必要があります。
出てきた情報をそのまま鵜呑みにするのではなく、自分自身でその情報を検証し会社・メディアが正しいことを言っているのか、またその他の問題がないか注意深くチェックしておく必要があります。今回はブログ/レポートなどの公開情報に惑わされない為にチェックしておきたいいくつかの項目について順を追って見ていきたいと思います。
- 会社の所在地
まずはそのブログ/レポートを書いた会社の所在地をチェックしていきましょう。その会社がある国によっては国の方針などのために偏った情報が含まれていたり、地政学的に友好関係にある国についてのレポートは出せない、といった場合があります。
2. 従業員について
SNSなどで従業員を発見できた場合、普段どんなツイートをしているのか、ツイートしている内容は本当なのかをチェックしてみます。また従業員についても前職はどこで働いていたのか、どういう役職に就いて仕事をしていたのかをチェックしてみます。もっと踏み込んでその従業員がフォローしている人などからどういうことに興味を持っているのか、などを調べてみるとより良いです。これらはよくバックグラウンドチェックと呼ばれています。
3. 会社から出ているレポート/ブログ
ダークウェブや脅威インテリジェンスをやっている会社のほとんどが会社のブログや定期的にレポートを出すなどの活動をやっています。会社の本質がそこでわかるケースも多いと思います。
4. 証拠の有無
大抵、脅威インテリジェンスやダークウェブを専門としている会社のレポートやブログの最後にはドメインやマルウェアのハッシュなどのIoC(Indicator of Compromise)があります。これらがあるかどうかをチェックしましょう。これらの情報がないのによくわからないグラフがあったりする場合は注意した方がいいかもしれません。
IoCがある場合でもブログをよく読むと整合性が取れていないこともあります。もう少し踏み込んで、そもそもレポート/ブログで言及されているIoCが実在しているのかどうか、またその情報自体がいつ登録されていつ更新されているのか、どういう要素を含んでいるのかもチェックできるとなお良いです。
また、ダークウェブ/ディープウェブでこんな書き込みがありました!と謳っている場合もスクリーンショットがあるかどうか、またスクリーンショットからOSINTをしてみて本当に書き込みが実在しているかどうかをチェックしてみる必要があります。
以上4点が自分が社会の一員として頑張るのに見ておいた方がいいと思うチェック項目です。何かの役に立てると嬉しいです。
最後になりましたが、hiro_さん記事のチェックをありがとうございます。
