OSINT攻撃対象領域管理でGoogleに漏洩された個人情報を検知
最近、韓国では4年前に公共機関に提出された個人の申込書がずっとインターネット上に公開されていたため、証明写真と住民登録番号(韓国版マイナンバー)、住所、携帯電話番号などの個人情報が4年間そのまま漏洩されてきたことが確認されました。さらに、住民票謄本まで閲覧でき、個人情報が含まれている資料をPDFでダウンロードもできる状態だったそうです。特に、その公共機関が個人の重要情報が保存および流出されていたこと自体を認識していなかったので、議論の対象となりました。
個人情報を含め、機密情報が流出される原因の中で不正アクセスおよび外部からのハッキング、セキュリティ管理ミスはOSINT検索エンジンと攻撃対象領域管理ソリューションで予防できる領域です。本投稿ではOSINT攻撃対象領域管理を通じて外部からの悪意のあるアクセスを防ぎ、情報流出の現況を常時モニタリングし、迅速なセキュリティ対応を取る方法について調べます。
4年間インターネット上に漏洩されていた個人情報、
PDFファイルでダウンロードすることもできた
OSINTを通じた 個人情報流出 の現況とGoogle検索語を把握
ハッカーはGoogleハッキング手法で検索エンジンに漏洩された個人情報をサイバー攻撃に活用します。ウェブ基盤のGoogleハッキングとIP基盤のCriminal IPを比較した投稿を見ると、Google検索の演算子(filetype、site、inurl、intitle等)を用いて特定条件の結果を検索する方法を活用することが分かります。以下はデフォルト状態のApacheテストページをGoogleハッキング演算子で検索した結果の画面です。
Googleハッキングで検索したデフォルト状態のApacheテストページ
このように、ハッカーはいくらでもGoogleで個人情報が含まれている内部サイト、各種申込書、書類を検索できます。逆に、情報を管理する立場でもGoogleハッキング手法を使用すると流出された情報を見つけ出せるが、どんな情報が流出されたか把握できずいちいち手動で探すのはけっこう手間と時間がかかる作業です。
Criminal IP ASMのOSINT機能では、Googleに流出されている企業および公共機関の情報を自動で検知し、該当情報を検索できるGoogle検索語を提供します。検知された情報のタイトル、内容、ファイルのタイプや公開の可否を確認できるので、優先順位によって履歴書、管理者ページ、テストサーバー等、個人情報が含まれた情報を迅速に削除・ブロックすることができます。
OSINTページで情報の種類やファイルタイプ、
キーワード検索でフィルタリングした情報流出の現況を把握できる
企業のドメインと関連キーワードに関する情報を自動で探索するため、自社で公開された個人情報以外に他意による個人情報流出の現況も速やかに把握できます。例えば、他の機関に提出した役員の個人情報、協業した企業が管理したページで公開された個人情報まで検知できます。
攻撃対象領域管理ソリューションを通じた情報流出の潜在脅威を検知
OSINT機能で現在流出された情報を確認することほど、情報流出の可能性が高いところを事前に管理するのも重要です。Criminal IP ASMのリスクページでは、登録されたIP帯域とドメインにより、毎日自動で企業のIT資産情報がアップデートされ、IT資産のセキュリティホールとデータ流出の脅威を確認できます。
Criminal IP ASMダッシュボードの画面、
ホスティング情報とリスクの現況を一目に把握できる
Highリスクで判別された内容にはオープンポートと脆弱性をはじめ、Data leak(データ流出)、remote access(リモートアクセス)、VPN(仮想プライベートネットワーク)等のケースも含まれています。リスクの中で、情報流出の経路として主に悪用されるVPN、remote access等を運用しているIPアドレスだけを知りたいときは、フィルター検索を通じて結果を絞ることもできます。
以下の画面はremote_accessでフィルター検索をした内容です。
「remote_access」フィルター検索で把握したデータ流出が検知されたIP資産
SSHリモートサーバーで利用される22番ポートが検知されたことが確認でき、Criminal IP詳細検索で該当IPを検索すると22番ポートが開放されていることまで確認できます。22番ポートが外部に公開されている場合、誰かがそれを悪用してサーバー内部へ侵入する可能性があり、これは個人情報流出にも致命的な原因となります。そのため、該当ポートを閉めることで迅速なセキュリティ対応になります。
CTI検索エンジンCriminal IPの詳細検索で確認した22番オープンポート
その他にも個人情報が流出される攻撃対象領域は多様であり、OSINT攻撃対象領域管理では個人情報流出の脅威を毎日自動で検知できます。個人情報管理の敏感度は高まる一方、不正アクセスや企業・公共機関の管理ミスで個人情報が流出される経路は多様になった現在、攻撃対象領域管理は必須とも言えます。セキュリティ関係者と情報管理責任者は毎日更新されるセキュリティ脅威と流出現況を活用し、最小のリソースで多角的に管理を行い、対策を備えることができます。
その他のOSINT情報のユースケースはOSINT検索エンジンを活用したサイバー脅威情報の収集の投稿をご参照ください。
データ提供
Criminal IP(https://www.criminalip.io/ja)
ご参照
https://blog.criminalip.co.jp/posts/42796504