IPアドレスから住所を特定することは可能か？OSINTの脅威

ハッキングの文脈では最近、どっちもあるかなと思います。

IPアドレスから住所を特定できない理由

これは、純粋にIPアドレスと住所が紐づいていないからという理由です。
例えばWhoisで検索すると、IPアドレスからドメインの登録情報から住所も取得できますが、昔と比べWhois情報公開代行サービスもあるため、必ずしも本人の住所を取得できなくなってきました。
　
TorによるTCP/IPにおける接続経路の匿名化。つまり「オニオンルーティング」と呼ばれる多重化接続により、通信を複数のノードを経由させることにより、匿名性を実現させる技術など。なお、これらの技術は危殆化するため注意が必要です。

The Tor Project | Privacy & Freedom Online

IPアドレスから住所を特定できる理由

国家機関などが使っていた、複合的な情報から特定するOSINTというテクニックが割と一般的になってきました。

OSINTフレームワーク

OSINTツール

Technisette:OSINT Tools

Technisette.comへようこそ！

ここでは、オープンソースインテリジェンス（OSINT）の調査に役立つ、収集したチュートリアル、ツール、データベース、アドオン、検索エンジンなどを見つけることができます。

www.technisette.com

Social-Media-OSINT

Discord

Facebook

Instagram

Kik

Mastadom

Snapchat

TikTok

Twitter

https://github.com/cqcore/Social-Media-OSINT

SHODAN – URL and WebSITE Scanner – Maltego Transform hub

IoT機器を検索するShodanもポピュラーなツールですね。

Shodan
Shodan is the world’s first search engine for Internet-connected devices.
www.shodan.io

身近なところで、スマートフォンからも住所に紐付く情報が抜かれています。

それでも使う？HuaweiとGoogleの個人情報収集の内容がすごい

Wi-Fiのアクセスポイントから個人情報を取り出すことも可能です。

SSIDに_nomapを付けないと個人情報漏えいするかも

最近では、サイトの取得中に行われたIPアドレス情報とHTTP接続の分析をエンドユーザーに提供する URL and website scanner 、スレッドインテリジェンスやネットワークフットプリントのデータからソーシャルメディア、暗号フォレンジックまで統合した Maltego Transform Hub なども使われるようになってきました。

SMART:OSINT Tools

OSINT Analyst のジョーダンは、OSINTとSOCMINTの手法を用いて、組織に対する脅威を常に警戒しているチームを率いています。このエピソードでは、彼と彼のチームが使用するツールや、この分野に入るための型破りなルートについて紹介します。

A Guide to Open-Source Intelligence (OSINT)

ジョーダンがお勧めのOSINTツールは、Google dorks そして、OSINT Start.meを集約したMicah HoffmanのSMART – Start Me Aggregated Resource Toolです。世界で活躍する OSINT Analyst が用いているOSINTツールを少し知ることができます。

そしてこちらに、SMARTの使い方と注意事項が掲載されております。

https://webbreacher.com/2022/11/14/get-smart-about-osint/

ソーシャルエンジニアリング

更にソーシャルエンジニアリングと呼ばれる、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法を駆使すれば、社内の人間を操り必要な情報を得る事も可能です。

Twitterへの大規模ハッキングは、もっと問題が深刻化していた可能性もある

Twitter セキュリティインシデントに関する最新情報

We’re sharing an update based on what we know today. We’ll provide a more detailed report on what occurred at a later date given the ongoing law enforcement investigation and after we’ve completed work to further safeguard our service. https://t.co/8mN4NYWZ3O
— Support (@Support) July 31, 2020

OSINT事例

RIXED Labsより、EX22の特徴や開発者、Lockbitとの関連性などを分析した「Dissecting Exfiltrator-22」のOSINTレポートがリリースされました。
なお、CYFIRMA によると EXFILTRATOR-22 別名 Ex22 は、検出されることなく企業ネットワーク内にランサムウェアを拡散するように設計されたツールです。このツールを購入すると幅広い機能が付属しており様々なことが行えます。

Releasing our latest paper ‘Dissecting Exfiltrator-22’. Our analysis delves deep into all available functionalities of the Ex-22 agent and includes OSINT on the developer & upcoming features of Ex-22.

Download the paper here: https://t.co/bCqPUbLly1 pic.twitter.com/iDmek1Scg3
— RIXED (@RixedLabs) March 13, 2023

RIXED Labsの OSINT Analystは、エージェントバイナリの「C:◆UsersRaymond Moluno◆Documents◆Worm.exe」パスからヒントを得て、Lockbit の開発者、Twitter アカウント、所在地、イーサリアムとBitcoin アドレスなど芋づる式に把握しました。

結論

色んな手口があるため、今やIPアドレスからOSINTやソーシャルエンジニアリングで芋づる式に情報収集できてしまう気がします。

余談ですが、公開情報とは意図せず公開されているものや脆弱性に起因するものも含まれます。想定外のわずかな隙であっても社内ネットワークや機密情報が閲覧できます。このような状況から、OSINTを用いたペネトレーションテストといったサービスがあります。

投稿者: 二本松哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させることー競争原理から共創原理へ二本松哲也のすべての投稿を表示