カジノサイト
OSINT を使用してアクティブな射手を阻止する: 公開情報が実用的な情報になる方法
オープンソース インテリジェンス (OSINT) は依然として比較的誤解されている技術ですが、長年にわたり、公開情報 (PAI) を収集し分析する実践が法執行機関や企業捜査において役割を果たしてきました。プロアクティブなセキュリティへの取り組みの一環であれ、すでに起こった犯罪の捜査を支援するためであれ、公開情報を実用的な OSINT に変換することが貴重なリソースであると同時に、要求の厳しいプロセスであることは疑いの余地がありません。
貴重な OSINT を生成および活用するには、多くの要素を考慮する必要があります。たとえば、最初のデータが倫理的で関連性があることを確認するためにどこでどのように収集されたか、効果的な分析に役立つ形式に正規化する方法などです。次に、人間がそのデータを解釈して検証し、その後、何かが高リスクの脅威であるかどうか、およびそれに対応してどのような行動を取る必要があるかを判断する必要があります。
数年前、ShadowDragon は、クライアントが緊急の物理的安全上の脅威に直面したときに、このプロセスをテストしました。ベスト プラクティスと適切なテクノロジーとアナリスト チームを導入した結果、誰も被害を受けませんでした。このユースケースの結果は、他の企業が同様の脅威に直面した場合に学ぶことができる青写真です。
課題
ShadowDragon は、当社のクライアントの 1 つであるオンライン決済システムを運営する世界的な金融テクノロジー企業から電話を受け、ShadowDragon のオンライン公開データ監視ツールである OIMonitor を介して活発な銃撃犯の脅威を検出したと伝えました。
OIMonitor は、公開されているデータ ソースを監視でき、ユーザーは任意の言語でキーワードを設定して、定義された用語に関連付けられたアラートを提供できます。この金融テクノロジー企業は、従業員に身体的危害を与える可能性のある脅威を特定し、軽減するために、しばらくの間、本社や役員に対する潜在的な暴力の脅威について、公開情報を積極的に監視してきました。
ベスト プラクティスと適切なテクノロジーとアナリスト チームを導入した結果、誰も被害を受けませんでした。
その日、同社が監視していた検索キーワードにより、オンラインで自社オフィスに対して銃撃攻撃を行うと脅迫した人物がいることが判明しました。脅威が検出された後、クライアントのセキュリティ チームは調査プロセスの検証段階に移行しました。これには、脅迫を投稿した人物の特定、それが信頼できる脅迫であるかどうかの判断、銃撃事件が発生する可能性を把握するためにその人物が物理的にどこにいたのかを特定することが含まれます。
チームはこのプロセスを完了するために ShadowDragon の SocialNet ツールを使用しました。 SocialNet を使用すると、調査員は数分以内にオンライン ID とそれらの ID 間のつながりを計画することができます。その後、捜査官はターゲットのデジタル ライフのパンくずリストをたどって、研究内の隠れた相関関係を発見できます。
この検証プロセスにより、最終的に、この状況であなたや私が脅威について抱くであろう疑問の多くが解決されました 誰が、どこで、何を、なぜ、いつ、どのように。それでは、捜査官は、これらの時間的制約のある質問を検証し、その瞬間に答えるために、より多くの公開情報を見つけることができるでしょうか?ありがたいことに、答えはイエスでした。
解決策
同社は SocialNet を使用して、投稿を行った個人が正当な脅迫であると見なすために必要な情報のほとんどを検証し、脅迫による暴力行為の可能性が高いことを確認することができました。
捜査官の仕事のスピードは文字通り生死を意味します。
脅威の可能性があるかどうかを判断するには、調査員は脅威を評価し、投稿者に関する情報を入手し、投稿者が頻繁に脅迫を行っているかどうか、またはアカウントが新しいか古いかを分析する必要があります。このケースでは、投稿者の能力、意図、脅威をやり遂げる可能性を判断するためにソーシャルネットが多用されました。
SocialNet は、捜査官がオンラインで特定のターゲットのソーシャル メディア エイリアスと個人情報を調査する手動の作業を自動化できるように設計されています。誰かが公共の場で暴力による脅しを行った状況では、捜査員の仕事のスピードがまさに文字通り生死を意味する可能性があります。
検証段階で投稿者に関する情報が SocialNet を通じて迅速に収集されたため、同社は攻撃者が投稿した内容と攻撃者が誰であるかを示す実用的な文書を手に入れましたが、脅威がどこに存在するかを特定する必要がありました。次の行動は、法執行機関を関与させて、悪意のある者の正確な物理的位置を確認することでした。
顧客は、脅威アクターとの通信に使用できるオンライン ID をすでに作成していました。彼らはこれらを使用して、加害者とダイレクト メッセージを介してトピックについて気軽に話し合った後、ShadowDragon アトリビューション アプリケーション ケース システム (現在はサポート終了) を導入しました。このツールは Spotter と呼ばれ、現在は利用できませんが、顧客は容疑者用の特殊な追跡リンクを作成し、容疑者がやり取りした情報を受動的に収集できるようになりました。
たとえば、クライアントは会話の中で cnn.com へのリンクを個人に渡すことができ、そのリンクを ShadowDragon システム経由でルーティングしてターゲットに cnn.com を表示します。このプロセスを通じて、既知の攻撃者から個人の IP アドレスなどの重要な情報が収集される可能性があります。
取得した IP アドレスは、標的となった企業の本社近くにある地元のホテルが所有するネットブロックと一致しました。 12 時間以内に、クライアントがソーシャルネット、オンライン データ ソース、元の脅迫投稿、ホテルの住所を使用して文書化した書類が警察に渡されました。ホテル従業員は容疑者が部屋を借りて建物内にいたことを確認した。その後、法執行機関は容疑者を特定して逮捕し、同時に攻撃に使用されたと思われる武器も明らかにした。
結果
PAI を OSINT に変換するこの例は、捜査プロセスにおいて、慎重に考えながらインシデント対応計画を実践し、計画し、遵守することが重要であることを明らかにしています。
分析の厳密さと法執行機関との既存の関係により、クライアントは最終的にこの脅威に 12 時間以内に対応し、脅威が発生する前に阻止することができました。オンラインで行われるほとんどの脅威は物理的な世界に現れませんが、中には現実に現れるものもあります。
この状況から、アナリストや調査員の手作業による重労働を強化するために構築された調査ツールが、現実の活発な脅威からコミュニティを守る上で大きな違いを生む可能性があることを学びました。優れたチームと組織化された計画は、一般に公開されている情報によって潜在的な脅威が明らかになったときに、その情報を行動可能なインテリジェンスに変換する正しいプロセスを確実に実行するための重要な要素でもあります。
信号対雑音比が常に大きいことは誰もが知っています。言い換えれば、公開されているすべての情報が調査者にとって価値や特定の意味を持っているわけではありません。それでも、反復可能なプロセスに従うことで、企業、政府、またはその他のユースケースに対する脅威に対するさまざまな問題セットを検出、対応、保護することができます。
ダニエル・クレメンスはの創設者兼CEOですは、倫理的オープンソース インテリジェンス (OSINT)、独自のデータセット、調査トレーニングのリーダーです。クレメンスは、テクノロジーとインターネットを利用した複雑な犯罪の解決にキャリアを捧げてきました。彼の数十年にわたる経験には、広範な調査と新たな脅威に対する攻撃的な行動の支援、長期的な調査のための拡張可能なカリキュラムの作成、世界中の反人身売買組織の手がかりを明らかにするための洞察の提供が含まれます。
© シャドウドラゴン
