ISACA名古屋支部_2025年1月SR分科会_OPSEC

OPSEC (Operations Security) について 知っておきたいこと 2025年1⽉ SR分科会 ISACA名古屋⽀部 調査研究担当・CISA教育担当 2025年1⽉18⽇（⼟） 14:00-14:50 理事 ⻑⾕川達也

はじめに • セキュリティリサーチ（SR）分科会へようこそ︕ • リサーチ報告で 広く浅くインプット • ⼿を動かすハンズオンで アウトプット＆エンジニアリング • ディスカッション（交流）で ⼈脈形成 ご都合よろしければ、15:00〜の ISACA⽉例会にもご参加ください

アジェンダ 1. 15分 リサーチ報告 • OPSECとは︖ • 情シスやSOC/CSIRTにおける調査で気をつけるべきこと 2. 25分 OSINT調査ハンズオン • OPSECを意識して与えられたドメインを調査する 3. 最⼤10分 ディスカッション(交流) • テーマ「OSINT調査ハンズオンをやってみた感想」

アジェンダ 1. 15分 リサーチ報告 • OPSECとは︖ • 情シスやSOC/CSIRTにおける調査で気をつけるべきこと 2. 25分 OSINT調査ハンズオン • OPSECを意識して与えられたドメインを調査する 3. 最⼤10分 ディスカッション(交流) • テーマ「OSINT調査ハンズオンをやってみた感想」

OPSEC (Operations Security) の設計と運⽤ ICT運⽤におけるセキュリティについての”設計”と”運⽤”の体系的なプロセスである Powered by DALL-E 実務運⽤者だけの話でもない 運⽤設計者にも関係する話

OPSECの歴史︓元々はアメリカの軍事⽤語 • 1966年 ベトナム戦争にてアメリカ軍が作戦の失敗を調査するためのチームを設 ⽴し、敵が軍事作戦に関するどのような情報を⼊⼿していたかを分析し、情報漏洩 を防ぐための対策を講じた。作戦終了後、取り組みを体系化し、「Operations Security (OPSEC)」と名付けた。☞ 「OPSEC」の起源 • 1993年 NSAは「Purple Dragon: The Origin and Development of the United States OPSEC Program」の報告書にてOPSECの起源と発展について機密扱いで 発表 • 2007年 情報公開法(FOIA)の要請により、⼀部編集された形で公開された。 サイバー脅威の進化、セキュリティ意識の向上、軍事技術の⺠間応⽤にて OPSECは世の中に広がっていった 例: 2010年 JPCERT/CCからも 「制御システム環境におけるサイバーセキュリティ⽂ 化の⽀援を⽬的とした運⽤セキュリティ（OPSEC）の使⽤」ガイドライン公開

• https://www.governmentattic.org/docs/Purple-Dragon_Origin-US-OPSEC_NSA-Ctr-Cryptologic-History_1993.pdf
• https://www.jpcert.or.jp/research/2010/UsingOPSEC_20100531.pdf

OPSECとは︖ • 起源の正式名称 = Operations Security (⼀部では Operational Security) - 直訳す ると「運⽤セキュリティ」、歴史的な意味を考慮し和訳すると「作戦保全」が適する • NIST SP800-53では「潜在的な敵対者が組織の能⼒と意図に関する情報を⼊⼿でき ないようにする体系的なプロセス」と定義されている Iden%ty sensi%ve data ５つの ステップ 機密データの特定 Threat assessment 潜在的脅威の特定 Vulnerability analysis 脆弱性の分析 Risk assessment リスク評価 Apply countermeasures 対策の適⽤ ⼤枠のステップは⼀般的なセキュリティ対策の運⽤とあまり変わらない

OPSECとは︖（２） OPSECの⽬的 潜在的な敵対者が組織/個⼈の能⼒と意図に関する情報を⼊⼿できないようにする OPSECの⼿段 （⼤枠の１例、網羅せず） 1. 意図的に情報共有の範囲を制限する - 例︓ 不⽤意に情報を公開しない、公開しっぱなしで放置しない 2. 意図せず不正に情報にアクセスされないようにする（受動的イベントへの対策） - 例︓脆弱性管理、厳格なアクセス制御 3. 本⽇の テーマ ⾃らの⾏動に注意し、残存する痕跡を最⼩限にする（能動的イベントへの対策） - 例︓調査⾏動に関する⾃分の痕跡を制御

ICT社会において、OPSECは誰にでも当てはまるもの 作戦バレ（身バレ）しないように考えるべきもの ハッカー 検出されない ようにOPSEC 侵⼊されない ようにOPSEC 追跡するため のOPSEC セキュリティ従事者/リサーチャー OPSEC SNS等で 事件に巻き込 まれないよう にOPSEC デジタルネイティブ児童 組織 個⼈ 犯罪に遭わな いように OPSEC デジタル積極活用の大人

OPSECに失敗すると・・・ありうるケース 追跡不能 ハッカー 逮捕 情報漏洩 セキュリティ従事者/リサーチャー 組織 OPSEC 炎上/プライ バシー侵害 デジタルネイティブ児童 個⼈ 詐欺被害 ⼈権侵害 デジタル積極活用の大人

OPSECの⼼得の⼀例 SNSプライバシーへの⼼得 • 公開範囲の⾒直し、過去の投稿の⾒直し 認証情報への⼼得 • 推察されにくいパスワードを使う、MFAの有効化 物理デバイスへの⼼得 • スクリーンロック、Webカメラカバー、プライバシーフィルター インターネット接続への⼼得 • 通信路の暗号化と必要に応じ送信元匿名化（公共のWi-fiへの接続ではVPN利⽤など）

さらにOSINT調査員が⼼得るべきOPSEC ü 調査専⽤のデバイスとアカウントを利⽤する ü SNSも私⽤アカウントと調査⽤アカウントを分ける ü VPNサービスやProxyサービスを利⽤して調査元IPアドレスを隠す ü 調査⽇時とタイムゾーンを考慮する。⼀般には相⼿のタイムゾーンが望ましい。 ü 使⽤する調査ツールを検証し、意図せず痕跡がツールにより残らないかを確認する ü 事前に調査⼿順を整理し、アドホックな調査は冷静に⾏う

ここまでがOPSECについての今回のリサーチ報告、 次頁はこれまでの経験からのアドバイス 情シスやSOC/CSIRTにおける調査で 気をつけるべきこと

情シスやSOC/CSIRTにおける調査で気をつけるべき⼼得 調査対象ファイルを業務ネットワーク端末内で閲覧しない •マルウェア感染および痕跡が残るリスク。隔離された専⽤ネットワークの端末または専⽤のWebサービスで閲覧する 調査対象ファイルをアップロードする場合は慎重に⾏う •オンラインマルウェア解析サービスへのアップロード後、そのファイルは公開されないか︖ •微加⼯しファイルハッシュを変えるだけでも追跡はやや困難にできる 調査対象URIに組織の正しい情報が⼊っていないことを確認する •例︓フィッシングメール末尾のクエリパラメータ ”?email=自組織の有効なメールアドレス” から自組織の情報を削除や細工する 調査対象ドメインに名前解決リクエストを投げる際は慎重に⾏う •domaintools.orgなど信頼できるサードパーティのPassive DNSの結果をまず確認する •サブドメインに⾃組織の調査だと特定できそうなキーワードや乱数がないかを確認し、可能であればゾーン転送（AXFR）でDNSレコードを取得する •VPNやProxyで送信元IPアドレスを匿名化する 調査対象のサーバーにアクセスするときは特に慎重に⾏う •インターネット上のコンテンツキャッシュや信頼できるOSINTサービスのキャッシュをまず確認。Wayback Machine(archive.org)やGoogle Web Cache等 •VPNやProxyで送信元IPアドレスを匿名化する、隔離されたサンドボックス環境を利⽤する。

Tips: OPSECと⽣成AI ⚠ OPSEC を「Operational Security」や「運⽤セキュリティ」と訳して記述して⽣成AIに 質問すると回答に「セキュリティ運⽤」の内容が混じって悪影響になることがあります。 ⽣成AIの回答を鵜呑みにせず、引⽤先の内容も確認すると気づけます。 OPSECについて⽣成AIに質問するときは下⼿な和訳や略称から名称への変換に気をつけよう︕ Perplexity Proの1例 ❌「Operational Security（運⽤セキュリティ）について教えてください」 ☞ Operational Security（運⽤セキュリティ）、略してOPSECは、組織の重要な情 報や機密データを保護するためのプロセスと実践です。〜その後、セキュリ ティ運⽤全般についての記述が多く含む ⭕「OPSEC (Operations Security)について教えてください」 ☞ OPSECとは、Operations Security（作戦保全）の略称で、機密情報や重要な活 動に関する情報の漏洩を防ぎ、組織の安全性を確保するためのセキュリティ⼿法です。

参考資料リスト ⽤語 https://www.sompocybersecurity.com/column/glossary/opsec https://isc.sans.edu/diary/25100 概要とアプローチ https://www.sans.org/blog/what-is-opsec/ https://www.fortinet.com/jp/resources/cyberglossary/operational-security https://www.checkpoint.com/jp/cyber-hub/threat-prevention/what-is-soc/what-is-operational-security-opsec/ https://cybersecurity-jp.com/security-words/100385 https://securityawareness.usalearning.gov/opsec/story.html 起源 https://www.techtarget.com/searchsecurity/definition/OPSEC-operations-security https://safeescape.org/opsec-history-and-ose/ https://www.governmentattic.org/docs/Purple-Dragon_Origin-US-OPSEC_NSA-Ctr-Cryptologic-History_1993.pdf https://media.defense.gov/2021/Jun/29/2002751705/-1/-1/0/THE_NATIONAL_OPSEC_PROGRAM.PDF その他 https://www.sans.org/presentations/when-cybercriminals-goof-opsec-oopsies-and-epic-falls/ https://www.sans.org/webcasts/best-practices-lessons-learned-starting-osint-teams/ https://www.jpcert.or.jp/research/2010/UsingOPSEC_20100531.pdf https://www.youtube.com/watch?v=6OTVOUicKOI https://github.com/BushidoUK/Operational-Security-101

• https://www.sompocybersecurity.com/column/glossary/opsec
• https://isc.sans.edu/diary/25100
• https://www.sans.org/blog/what-is-opsec/
• https://www.fortinet.com/jp/resources/cyberglossary/operational-security
• https://www.checkpoint.com/jp/cyber-hub/threat-prevention/what-is-soc/what-is-operational-security-opsec/
• https://cybersecurity-jp.com/security-words/100385
• https://securityawareness.usalearning.gov/opsec/story.html
• https://www.techtarget.com/searchsecurity/definition/OPSEC-operations-security
• https://safeescape.org/opsec-history-and-ose/
• https://www.governmentattic.org/docs/Purple-Dragon_Origin-US-OPSEC_NSA-Ctr-Cryptologic-History_1993.pdf
• https://media.defense.gov/2021/Jun/29/2002751705/-1/-1/0/THE_NATIONAL_OPSEC_PROGRAM.PDF
• https://www.sans.org/presentations/when-cybercriminals-goof-opsec-oopsies-and-epic-falls/
• https://www.sans.org/webcasts/best-practices-lessons-learned-starting-osint-teams/
• https://www.jpcert.or.jp/research/2010/UsingOPSEC_20100531.pdf
• https://www.youtube.com/watch?v=6OTVOUicKOI
• https://github.com/BushidoUK/Operational-Security-101

アジェンダ 1. 15分 リサーチ報告 • OPSECとは︖ • 情シスやSOC/CSIRTにおける調査で気をつけるべきこと 2. 25分 OSINT調査ハンズオン • OPSECを意識して与えられたドメインを調査する 3. 最⼤10分 ディスカッション(交流) • テーマ「OSINT調査ハンズオンをやってみた感想」

OSINT調査ハンズオン 事前説明

演習シナリオ CISO︓「弊社”（仮）SRNG商事”を狙ったAPT攻撃についての情報がダークウェブで暴露 されているらしい。その投稿はすでに削除されているのだが、その攻撃者のインフラと思わ れるドメイン名とIPアドレスについてそれを発⾒した匿名組織から受け取った。そのドメイ ン名は、”your assigned FQDN”、そのIPアドレスは”ip only shared on slack”だそうだ。 いまSOCにこれらに対して弊社ネットワークからアクセスがあるかを調べてもらってい る。君には、攻撃者の情報をできる限り調べてほしい。」 OSINT調査員︓「わかりました、できる限り調べてみます。」 CISO︓「ああ、そうだ、OPSECをしっかり考慮してくれよ」 OSINT調査員︓（あれ、OPSECってなんだったかなぁ、まあそれも含めて調査してみれば いいか）

ハンズオン演習課題 OSINT調査担当として、⾃⾝に与えられた調査対象のドメイン名とIPアドレスを調査してください なるべく１⼈に１ドメインずつを分科会SlackのPollで割り振ります [設問] 1.対象のドメインについて調べてください 1. 権威DNSサーバーのIPアドレス 2. Aレコードの名前解決されたIPアドレス 3. AレコードのTTLの値 2.対象ドメインの登録⽇と登録者の情報を調べてください 1. ドメイン登録⽇ 2. ドメイン登録者(Registrant) 3.対象のドメインで稼働しているサーバーについて調べてください 1. サービス名(Protocol) （回答形式︓〇〇サーバー） 2. 稼働しているサーバーにて隠されているWebコンテンツを探してください。（回答形式︓Webページタ イトル） 3. 稼働しているサーバーにてホスティングされているPDFファイルを特定してください。（回答形式︓ルー トディレクトリからのファイルパス）

OSINT調査ハンズオン 次のページから解答へのヒントです ノーヒントで挑戦したい猛者は ここでスライドの閲覧をやめてください 後ほど分科会Slack上でのみ解答を公開します。

[ヒント] 演習に役⽴つ OSINT調査ツールおよびOSINTサービスの紹介 OSコマンド ü dig || nslookup ⚠ブラウザしかない場合 CMAN Web版 https://www.cman.jp/network/support/nslookup.html) ü curl (--resolveオプションが使えるlibcurl版cURL) OSのホストファイル変更+Webブラウザーでも代⽤可能 ü exiftool ü ファイルハッシュ値の算出ツール (openssl など) Webサービス ü DomainTools https://whois.domaintools.com ü Shodan https://www.shodan.io ü Censys https://search.censys.io ü VirusTotal https://www.virustotal.com/gui/home/search

• https://www.cman.jp/network/support/nslookup.html
• https://whois.domaintools.com/
• https://www.shodan.io/
• https://search.censys.io/
• https://www.virustotal.com/gui/home/search

ハンズオン演習 アプローチヒント ヒント︓オレンジ⽂字 [設問] ShodanまたはCensysで調査対象IPアドレスを検索 設問1と設問3において ⾃分のどのような情報が宛先サー バーに残ってしまうのか 考慮しながら調査するのがよい 1.対象のドメインについて調べてください 1. 権威DNSサーバーのIPアドレス digまたはnslookupで調査対象IPアドレスをDNSサーバーとして指定 し、とりあえずAレコードの問い合わせ 2. Aレコードの名前解決されたIPアドレス 設問1-1の結果に付随 3. AレコードのTTLの値 digの設問1-1の結果に付随 2.対象ドメインの登録⽇と登録者の情報を調べてください 1. ドメイン登録⽇ DomainToolsで調査対象のドメインを検索 2. ドメイン登録者(Registrant) 設問2-1の結果に付随 3.対象のドメインで稼働しているサーバーについて調べてください 1. サービス名(Protocol) （回答形式︓〇〇サーバー） ShodanまたはCensysで設問1-2の結果IPを検索 2. 稼働しているサーバーにて隠されているWebコンテンツを探してください。（回答形式︓Webページタイ トル）robots.txtを確認し、クローラーに隠されているWebディレクトリのコンテンツURLにアクセス 3. 稼働しているサーバーにてホスティングされているPDFファイルを特定してください。（回答形式︓ルー トディレクトリからのファイルパス）調査対象IPアドレスのDNS TXTレコードが最⼤のヒント。+α ファ イルを取得し、そのファイルハッシュ値でVirusTotalを確認

OSINT調査ハンズオン 解説スライドございません 後ほど分科会Slack上でのみ解答を公開します。

OSINT調査ハンズオン 総括レポート OSINT調査員︓「調査対象ドメイン名はDNSが公開されておらず、調査対象IPアドレスが その権威DNSサーバーでした。そのドメイン名が割り当てられているコンピューターでは、 現時点においてもWebサーバーが動作しており、”/apt/under_dev.html”というページに 開発中と思われる「Fictional Service」へのログインページが⾒つかりました。また対象の IPアドレスの⽅はこのドメイン名を名前解決するためのDNSサーバーでした。”/pdfdoc/社 外秘(R7)事業計画_N.pdf”が公開されており、ファイルの内容を確認したところ、弊社 （仮）SRNG商事の機密情報ファイルで間違いありません。またこのファイルはVirusTotal にもアップロードされておりました。OPSECの基本を考慮して、なるべくサードパーティ のOSINTサービスを活⽤して調査しましたが、調査の⼀部に実際のアクセスを必要としたた め、専⽤端末よりVPNやProxyを経由し送信元IPアドレスを匿名化して調査対象のDNSサー バーおよびWebサーバーへアクセスしました。よって弊社のフィンガープリントは最⼩限で すが、だれかからの調査⾏為があったことは対象サーバーを管理している脅威アクターに伝 わった可能性があります。」 CISO:「なんてことだ、しかしご苦労様。脅威アクターが次のアクションを起こす前に、急 いで情報漏洩事案としてインシデントチケットをオープンし、フォレンジック調査を含めた インシデント対応をしよう。」

アジェンダ 1. 15分 リサーチ報告 • OPSECとは︖ • 情シスやSOC/CSIRTにおける調査で気をつけるべきこと 2. 25分 OSINT調査ハンズオン • OPSECを意識して与えられたドメインを調査する 3. 最⼤10分 ディスカッション(交流) • テーマ「OSINT調査ハンズオンをやってみた感想」

ディスカッションテーマ OSINT調査ハンズオンをやってみた感想 OPSECを考慮してこんなことしてみました ハンズオン終了後に与えられたログを閲覧しながら振り返ってみてください 現地オフラインの⽅は、 3⼈程度のグループを作成し、議論してみてください。 Zoomオンラインの⽅は、Slackチャットに書き込む形で交流してみましょう。

次回のSR分科会は「2025年4⽉19⽇（⼟）」 次回のテーマは「未定」です。 現地会場は「名古屋国際センター研修室＠国際センター駅」で Zoomとのハイブリッド開催です SR分科会へのご参加ありがとうございました。 次回の詳細情報は、Slackで別途ご連絡します。