2022年のNational Child Protection Task ForceカンファレンスでTelegram OSINTについての講演がありました。この講演の背後にある考え方は、OSINT調査のためにTelegramにできるだけ低い障壁でアプローチすること、つまりプラットフォーム上に実際のアカウントを持たず、モバイルデバイスでアプリを使うのではなく、ウェブブラウザを活用することでした。
多くの捜査官は、Telegramのアカウントを取得できないか(電話番号が必要です)、ウェブブラウザのみを利用して捜査を行っています。Telegramを「外から」調査できることはたくさんあり、ここに5つの大きなものを挙げました。Telegramが初めてであったり、アクセスに制限がある場合、これを参考に始めることができます。
Telegramは、単にメッセージと情報発信のためのアプリです。ユーザーからユーザーへ、ユーザーからチャンネルを介したオーディエンスへ、あるいはグループ内の複数のユーザーから相互にメッセージを送ることができます。
・Dorks! (Advanced Search Operators)
ユーザー、ボット、チャンネル、グループ、その他何でも検索オプションは強い味方です。必要なのは、サイト固有の検索を行うためのTelegramのURL構造と、興味のあるキーワードだけです。テレグラムのコンテンツは、Googleや他の検索エンジンで、t.meとtelegram.meという共通のドメインにインデックスされています。例えば
Google、Bing、DuckDuckGoの場合 -> site:t.me cryptocurrency
Yandexの場合 -> url:t.me cryptocurrency
これらの検索はそれぞれ、t.meのURLから特別にインデックスされ、ページにcryptocurrencyという単語がある結果をそれぞれの検索エンジンで返します。t.meをtelegram.meに変更すると、telegram.meのドメイン名で検索した結果が表示されます。何を探すか、クリエイティブに考えよう
Googleカスタム検索エンジン(CSE)には、Telegramのコンテンツを特別に検索し、簡単な操作で結果を得られるようにあらかじめ構築されたものがいくつかあります。
CSE “Telegago”:
https://cse.google.com/cse?q=%2B&cx=006368593537057042503%3Aefxu7xprihg
CSE by Francesco Poldi:
https://cse.google.com/cse?cx=004805129374225513871%3Ap8lhfo0g3hg
CSE “Commentgram”:
https://cse.google.com/cse?cx=006368593537057042503:ig4r3rz35qi#gsc.tab=0
・View Full Description
興味のあるプロフィールや、参加できないプライベートなグループページで、公開されている説明文から見えるものだけを収集・分析しているとき...実は見た目以上のものがあることに気付きましたか?この例を見てください。
テキストを含む要素を右クリックして検査し、コードの中身を確認します。インスペクタのさまざまな要素にカーソルを合わせると、ページ内の対応する部分が強調表示されるので、探している部分を簡単に見つけることができます。小さな三角形をいくつかクリックしてドロップダウンの詳細を展開する必要があるかもしれませんが、最終的には以下のように "tgme_page_description" の要素を見つけることができます。
今まで見ることのできなかったものが、あなたの好奇心の赴くままに、完璧に手に入ります。
もし、プライベート・グループにたどり着き、そのページに彼らのInstagramアカウント、Facebookアカウント、そしてカスタムのbit.lyグループ参加リンクが隠されている例があるとしたらどうでしょう?
エレメントの検査をするのは大変なのでwebbreacherが、ボタンを押すのと同じくらい簡単にこの要素の内容を見ることができるシンプルなワンライナーのブックマークレットを作ってくれました。
やり方は、以下の文章をコピーして、ブラウザのブックマークから、新しいブックマークを作成し、通常ブックマークのURLを入れる場所に文章を貼り付けて、保存するだけです。
javascript:(function()%7Bvar a %3D document.getElementsByClassName(‘tgme_page_description’)%5B0%5D%3B alert(a.innerText)%7D)()
これで、上の https://t.me/joinchat/C-bhhEwufsxZaUsv0TiSdA のようなTelegramのプロフィールを見ているときに、ブックマークバーでこのブックマークレットをクリックするだけで、すぐに使えます。このように画面にポップアップして表示されます。
・Channel Preview URL Edits
チャンネルのページにあるオプションをクリックしてチャンネルをプレビューすると、運が良ければ、最新のものから順に、大量のメッセージの中にいくことができます。
では、あなたがここにたどり着いたとしましょう。メッセージ#6,692(URLを参照)にずっといたのです。
ご覧の通り、URL は t.me/areaofhacking/s/6692 から始まります。この末尾の数字を変更すると、すぐに別の記事に移動することは、賢明な読者の皆さんには明らかでしょう。簡単に編集することができます。
t.me/areaofhacking?before=100
これは、100、500、1000...と、任意の数字を末尾に付けることで、最初の100チャンネルのメッセージを得ることができます。分割して確認しなければならない場合に最適です。
・Getting The Exact Date & Time
チャンネルをプレビューするとき、または(ログインして)特定のメッセージを見るとき、それが投稿された正確な日時を確認する必要があるかもしれません。メッセージの右下に時間が表示されます(例:チャンネルのプレビュー)。その時間をクリックすると、そのメッセージの静的URLに移動し、以下のように追加された日付を見つけることができます。
しかし、これは正確ではありません。詳細に関しては、時間/日付スタンプを右クリックして検査を選択し、「tgme_widget_message_date」という要素を見てみましょう。
そこに2つの異なる時間があることにお気づきでしょう。混乱するかもしれませんが、ご心配なく。最初の時刻はUTCで、2番目の時刻は端末の現地時刻に変換されます。もしあなたが自分のマシンやブラウザ、場所などをわかりにくくするために何かをしているなら、2つ目の時刻は正確ではないかもしれませんが、UTCは常に正しいものであることに賭けてください。
・Using Archives
最後のアドバイスは、アーカイブです。Telegramのコンテンツをレビューしているとき、レビューしているチャンネルが過去にアーカイブされていたことに驚くかもしれません。みんなのお気に入りの2つのアーカイブサイト(archive.org と archive.today)です。これらのサイトでは、興味のあるTelegramのURLを検索して、そのアーカイブにあるものを見ることができます。検索するときは、t.meとtelegram.meを試してみることを忘れないでください。