今まさに思い出しておきたいやつ(転載)~オンラインでサイバー脅威情報を収集し、不正な情報源からデータを購入する際の法的考慮事項 / Legal Considerations when Gathering Online Cyber Threat Intelligence and Purchasing Data from Illicit Sources~


今まさに思い出しておきたいやつ https://t.co/YypMBTli7d Quoted tweet from @0x009AD6_810: 「このドキュメントの対象となる状況では、連邦捜査官は犯罪者と情報収集に従事している無実の当事者を容易に区別できない場合があります。 その結果、合法的なサイバーセキュリティに携わる個人が犯罪捜査の対象になる可能性があります。」😱 https://t.co/0YBt0X79Iz: 今まさに思い出しておきたいやつ
https://t.co/YypMBTli7d
「このドキュメントの対象となる状況では、連邦捜査官は犯罪者と情報収集に従事している無実の当事者を容易に区別できない場合があります。 その結果、合法的なサイバーセキュリティに携わる個人が犯罪捜査の対象になる可能性があります。」😱 https://t.co/0YBt0X79Iz

ー以下機械翻訳ー

I.序章

サイバーセキュリティ・ユニット(CsU)は、特定のサイバーセキュリティ対策の合法性について民間組織から寄せられた質問に対応して、この文書を作成した。
国家安全保障部などの司法省の他の部門や他の連邦機関からの寄稿も含まれている。CsUの使命に沿って、本書は、組織が効果的なサイバーセキュリティ対策を採用し、合法的な方法で実施するのを支援することを目的としている。

この文書は、コンピュータ犯罪が議論され計画されたり、盗まれたデータが売買されたりするオンライン・フォーラムに関与する、情報セキュリティ実務者のサイバー脅威情報収集の取り組みに焦点を当てている。また、民間の行為者が、マルウェアやセキュリティ上の脆弱性、あるいは自分の盗んだデータ、あるいはデータ所有者の許可を得て他人の盗んだデータを闇市場で購入しようとする状況についても考察しています。

児童ポルノや違法薬物を扱うフォーラムなど、他のタイプの犯罪フォーラムに関わる情報や証拠収集を対象としています。

本書で言及されているシナリオは、CsUの民間部門への働きかけや関与が示唆する、情報収集、盗難データの取得、マルウェアのサンプルやセキュリティ脆弱性の取得など、サイバーセキュリティのコミュニティで一般的に使用されている慣行から導き出されたものである。情報セキュリティ専門家がこれらの活動に従事する際には、ここで議論されている法的な懸念が生じる可能性が高い。本書は、潜在的な法的問題を特定するための支援を提供することを目的としていますが、すべての法的問題に包括的に対処するものではありませんし、また対処することもできません。

特に、事実の些細な変更が法的分析を大幅に変更する可能性があるため、実務家があらゆる状況で直面する可能性のある問題について、弁護士に相談することを強くお勧めします。
本書の法的議論は、米国連邦刑法に限定されています。民事責任、州法、または米国以外の国の法律には焦点を関係を築くことが有益な場合もあります。

II.シナリオの前提条件

以下に説明するシナリオは、サイバーセキュリティ活動の一環として闇市場のフォーラムから情報を収集する民間の情報セキュリティ実務者の活動を前提としています。これらのシナリオは、実務家の活動方法と実務家の意図について、法的に重要な仮定に基づいています。

A.セキュリティの実践者

本書は、コンピュータ犯罪の実行に関連するツールやサービスが売買され、盗み出されたデータが購入可能な闇市場から情報(サイバー脅威情報、盗み出されたデータ、セキュリティ脆弱性、マルウェアなど)を入手する民間の情報セキュリティ実務者に焦点を当てています。これらの活動は、米国の管轄区域内で、米国連邦刑法の対象となるような方法で行われていることを前提としています。

また、実務家は、正当なサイバーセキュリティの目的(例えば、他の人がサイバーセキュリティの脅威を識別し、防御するのを助ける)のためにのみ、犯罪的または悪意のある意図や動機を持たずに情報を入手していると仮定しています。

このようなタイプのオンライン活動に従事している実務家は、セキュリティと個人の安全の理由から、フォーラムで活動している間に、偽名やでっち上げのIDを頻繁に使用しています。後述するように、偽のアイデンティティは完全に捏造されたものでなければならず、実際の人々の許可なしに実際の人々のアイデンティティを仮定してはなりません。また、オンラインで作成された身分証明書には、以下のような偽名を使用してはいけません。

役人のような特別な地位にある者を名乗ること。

B.フォーラム

サイバーセキュリティの専門家がサイバー脅威インテリジェンスを収集するフォーラムは様々である。ほとんどのフォーラムはダーク・ウェブ上のTORネットワークを介してアクセス可能なサイト上で、隠れたサービスとして発見されています。

これらのダークマーケット・フォーラムの中には、違法なサービスを入手したり、盗まれた金融データや個人データを購入したりするために使用されることで、情報セキュリティ業界で知られている招待制のサイトもあります。他にも、ダークウェブ上で公開されているものもあり、TORが提供する匿名性を利用して運営者を保護しています。これらのフォーラムのいくつかでは、コーディングやマルウェアに関連した一般的な話題が議論されていますが、セキュリティ専門家が最も関心を持つサイトでは、違法なサービスや、盗まれたクレジットカード番号、漏洩したパスワード、その他の機密情報の販売を公然と宣伝しています。

C.フォーラムへのアクセス


フォーラムへのアクセス方法は法的に重要です。フォーラム運営者によって提供された正当な資格情報を使用してフォーラムにアクセスすることは、アクセス手段に関する法的問題を回避する最善の方法です。不正な手段でフォーラムにアクセスすることは、連邦刑法に違反する可能性があります。例えば、盗用された資格情報を使用してフォーラムにアクセスすることは、特にCFAAの違反を構成する可能性があります。また、悪用またはその他のテクニックを使用して、意図した(したがって許可された)手段ではなく、フォーラムが運営されているサーバーやシステムにアクセスして情報を収集することは、CFAAおよび電子的な監視
を規定する他の連邦刑法に違反する可能性があります。

フォーラムのポリシーに反してフォーラムにアクセスすることも、同様にCFAAの下での合法的なアクセスについて法的な問題を提起する可能性があります。

犯罪行為者によって運営されているフォーラムでは、フォーラムへのアクセスを求める人物が善意の犯罪的意図を持っていることを証明する必要がある場合があります。例えば、フォーラム運営者は、フォーラムへのアクセスを求めている者が善意の犯罪的意図を持っていることを証明するためにまたはマルウェアや盗まれた個人情報の配信を要求されることがあります。以下に説明するように、このような要求に従うことで、法的な危険にさらされる可能性があります。

フォーラムにアクセスした後に情報が収集される方法も、法的な問題を提起する可能性があります。後述するように、サイトのセキュリティ機能を迂回したり、許可されていない方法で情報にアクセスしたりしない、スクリーンキャプチャやその他のオンライン情報を記憶するために一般的に使用されている方法を使用して情報を収集することは、潜在的な法律違反を回避することができるかもしれません。

III. サイバー脅威情報収集

サイバー脅威インテリジェンスを使用してサイバーインシデントに備えたり、対応したりすることで、悪意のあるサイバーインシデントの影響を軽減したり、場合によっては完全に防ぐことができます。タイムリーで正確な脅威インテリジェンスは、既知のサイバーセキュリティの脅威や脆弱性から組織とその顧客を保護することができます。CsUが産業界への積極的な防御についてのアウトリーチの中で学んだように、多くのサイバーセキュリティ組織は、サイバー脅威インテリジェンスの収集をサイバーセキュリティ活動の中で最も実りあ
るものの一つと考えている。

サイバー脅威インテリジェンスを発信する民間組織は、複数の情報源から情報を収集しています。その中には、違法行為が計画されていたり、違法行為に使用されるマルウェアや盗まれたデータが販売されていたりするオンラインフォーラムやその他のコミュニケーション・チャネルも含まれます。これらの情報源から収集された情報は、サイバー脅威インテリジェンスとネットワーク防御情報の豊富な情報源となります。

過去、現在、または将来のサイバー攻撃や侵入、マルウェアのサンプル、現在使用中または開発中の犯罪者の戦術、ツール、手順、攻撃や侵入に関与している個人のエイリアスや身元などについての情報を収集することができます。しかし、民間の当事者が合法的な目的で情報を収集するためにこれらのオンライン・フォーラムに参加したり、参加したりする場合、脅威の情報を収集することと犯罪活動に従事することの間の境界線を見分けるのは難しいでしょう。以下のさまざまなシナリオについての考察は、組織が連邦刑法に違反する可能性を低減する方法で情報収集活動を実施する計画を立てるのに役立つことを目的としています。

A.シナリオ1: フォーラムで「潜伏」してサイバー脅威の情報を収集する

実務家がフォーラムに公然と投稿された通信を読み、収集しても、フォーラムの通信に応答せず、フォーラム上またはフォーラムを介して他の人と通信しない場合、連邦刑事責任のリスクは実質的にありません。一人で立って、架空の人物を装ったり、偽名を使ってフォーラムにアクセスして通信することは、その行為が詐欺やその他の犯罪を犯す手段ではなく、許可された方法でアクセスが得られる限り、連邦刑法に違反することはありません。

つまり、許可なく実際の人物の身元を推測することは、法的に問題があることを証明する可能性があります。なりすまされている実際の人物と、その仮定した身元で行われた行動によっては、実務家は刑事上および民事上の法的措置に直面する可能性があります。

B.シナリオ2: 犯罪者フォーラムでの質問の提起

施術者が違法行為に関する情報を求めてフォーラムに問い合わせを投稿して、より積極的に情報を収集することにした場合、施術者の行動は犯罪捜査の対象となるリスクを高めることになります。一般的な質問をすることで生じる法的リスクはわずかですが、実務家の投稿が犯罪の実行を勧誘しているように見える場合、そのリスクは大幅に高まります。コンピュータ犯罪の実行を勧誘したり、誘発したりすると、プラクティショナーは刑事責任を問われる可能性があります。

実務者がフォーラムで得た情報を使用して連邦犯罪違反を犯すつもりがない場合、フォーラムで質問をしたりアドバイスを求めたりすることは犯罪を構成する可能性は低いです。しかし、法執行機関は犯罪行為が行われているフォーラムを調査しており、犯罪行為について質問したりアドバイスを求めたりすることは、犯罪が発生している可能性があることを示唆しています。そのため、犯罪行為についての議論を含んでいるように見えるフォーラム上での実務家の問い合わせや他の人とのやりとりが、実務家をフォーラムやそのメンバーの犯罪捜査に関与させる可能性があります。

これは、実務家が調査の対象となる可能性があります。しかし、実務家や組織は、そのリスクを軽減するための措置を講じることができます。

例えば、サイバー脅威の情報収集を行うための運用計画を文書化し、オンラインでの活動や情報の収集・使用方法を記録しておくことができます。犯罪捜査が行われた場合、このような記録は、その行為が合法的なサイバーセキュリティ活動であったことを立証するのに役立ちますし、法執行機関が実務者の行為が違法行為に従事した不正な従業員の行為ではなく、会社の合法的なサイバーセキュリティ活動を促進するために実行されたものであると判断するのに役立つかもしれません。

また、組織は、フォーラムでの従業員や請負業者の活動を導くために、顧問弁護士と一緒に吟味されたポリシーとプロトコルを確立する必要があります(その他の場所でも)。吟味された「関与の規則」または「コンプライアンス・プログラム」を持つことは、従業員が誤って、または無意識のうちに組織とその従業員を法的な危険にさらしたり、セキュリティを危うくしたりすることを防ぐのに役立ちます。また、現地のFBIのフィールドオフィスやサイバータスクフォース、および現地の米国シークレットサービスのフィールドオフィスや電子犯罪タスクフォースと継続的な関係を構築することで、これらの情報収集活動に従事する前に法執行機関に通知することも有益です。また、早期に法執行機関との関係を築くことで、実務家の活動が法執行機関による進行中の捜査や予想される捜査を意図せずに妨害しないようにすることもできます。

C.シナリオ3:フォーラムでの情報交換

潜入捜査官がフォーラムの積極的なメンバーとなり、情報を交換したり、他のフォーラムのメンバーと直接やりとりをしたりすると、注意を怠るとすぐに違法行為に巻き込まれてしまう可能性があります。潜入捜査官は、練習生のペルソナを信頼することを学んだフォーラムの情報源から情報を引き出す方が簡単かもしれませんが、信頼を得て仲間の犯罪者としての善意を確立するためには、犯罪に役立つ情報やサービス、または犯罪に使用できるツールを提供する必要があります。そのような活動に従事することは、連邦刑法に違反する結果となる可能性があります。

犯罪が発生したかどうかは、通常、個人の行動と意図に左右されます。実践者は、フォーラム上で他人の犯罪目的を助長するようなことをしないようにしなければなりません。実践者に犯罪を犯す意図がなくても、犯罪行為に従事している他の人を援助することは、幇助の連邦犯罪を構成することができます。個人は、肯定的な行為(それ自体は合法的な行為であっても)を行った場合、犯罪を助長し、犯罪の実行を容易にする意図を持って行われた場合、連邦法違反を幇助する責任があると判断される可能性があります。

犯罪に積極的に参加している場合俳優がその犯罪的事業のすべての側面に同意していない場合でも、関係する状況を十分に知った上で犯罪的事業を行うことは、幇助責任を立証するのに十分である。

例えば、マルウェアに関する技術的な支援をフォーラムのメンバーに提供した場合、そのアドバイスがネットワーク侵害に役立つと知りながら、フォーラムのメンバーがその計画を実行すれば、たとえその実践者がその特定の犯罪の実行を支援する意図がなかったとしても、連邦犯罪幇助法に違反する可能性があります。

要するに、セキュリティの実務家は、犯罪の実行に他者を助けるような行動を取らないように注意したり、犯罪の発生に同意したりしなければならない。この種の情報収集活動に従事する者は、犯罪行為を容易にするために存在するオンライン・サイトや、犯罪を計画している可能性のある個人との間で、通信や行動が行われていることに注意しなければなりません。実務者は、そのような犯罪を助長する可能性のある真実、正確、または有用な情報を提供しないようにしなければなりません。

実践者が連邦犯罪捜査の対象となった場合、捜査官は、外部証拠や状況証拠を使用して意図を特定しようとするでしょう。したがって、上記のように、プラクティショナーとその雇用主は、フォーラム上でのプラクティショナーの行動とプラクティショナーの活動の正当なビジネス目的を記録した記録を保持し、正当な動機と違法な活動の拡大を避けるために取った措置を立証する必要があります。

IV.盗まれたデータと脆弱性をサイバーセキュリティの目的で購入すること


サイバーセキュリティ企業の中には、顧客へのサービスとして、特定のタイプの情報がないかダークマーケットを監視しているところもあります。彼らは、顧客の記録やその他のタイプの機密性の高い顧客データが販売されていないかどうかを検索することがあります。また、顧客のネットワークや製品を標的としたマルウェアやセキュリティの脆弱性を検索することもあり、顧客のデータや資産が悪用される可能性があります。これらのタイプの情報がオンラインで販売されているのが発見された場合、サイバーセキュリティ組織がそれらの情報を購入したり、ダークマーケットからの削除のために売り手との取引を仲介したりすることがあります。

ダークウェブ上で盗品やセキュリティの脆弱性を販売する匿名の当事者と交渉することは、望ましくない結果を生むリスクが大きくなります。売り手は、約束したデータを作成せずに購入者の支払いを奪う可能性があります。これらのリスクは、違法な商品を販売している商人が、ダークマーケットの商人と取引をした後に組織が騙されてお金を失ったことを予想して、当局に事件を報告したがらないことによって、さらに悪化しています。

闇市の商人に資金を騙し取られた組織は、売り手が匿名であることが多く、米国の裁判所の手の届かない国に所在していること、および/または、追跡不可能で取消不能な支払い方法を変更する必要があります。これらの理由から、組織はこのような方法で盗まれたデータやセキュリティ上の脆弱性を取得しようとすることに注意する必要があります。

しかし、組織によっては、バランスを考えれば、それに見合った利益が得られることが予想されるため、これらのリスクを負うことを厭わない場合もあります。例えば、以前には検出されなかったデータ侵害の性質と範囲を評価し、さらなる損失を避けるためにネットワークにパッチを当てることができるようにするために、盗まれたデータのコピーだけを取得しようとすることもあるでしょう。また、サイバーセキュリティ企業は、盗まれた情報を利用して、他の企業が自社のネットワークをよりよく保護するために利用できるインテリジェンス・レポートを作成することができるかもしれません。

有効性と実用性に関する疑問はさておき、自分自身の盗まれたデータ(サイバーセキュリティ企業の場合は、その盗まれたデータの購入を許可している当事者のデータ)を購入することは、検討に値する法的な懸念を生じさせる。当初、連邦検察官は、単に自分の盗まれたデータを購入しようとしたり、セキュリティの脆弱性を購入しようとしたりする当事者を告発することは通常ありませんでした。しかし、これらの活動に従事している当事者は、以下に述べる法的リスクに直面しており、それを考慮する必要があります。

シナリオ1: 盗まれたデータの購入

このセクションのシナリオでは、盗まれたデータを購入する際のさまざまな側面に焦点を当てており、それぞれが法的分析に影響を与える可能性があります。

  • 購入者がデータの正当な所有者であるかどうか。盗まれたデータは、データ所有者、またはデータ所有者の公認代理人によって購入されたものですか?

  • 販売されるデータの種類。盗まれたデータは、連邦法で譲渡または所有が禁止されている情報の種類であるか(例:盗まれたクレジットカード情報や企業秘密など)。

  • 売主の身元:売主は、連邦法でデータ所有者が取引を行うことを禁止されている人物ですか?
以下の各シナリオでは、上述の情報収集シナリオで議論したのと同じ前提条件を使用しています。すなわち、セキュリティ実務者に関する前提条件、アクセスされるフォーラムの性質、およびそのようなフォーラムにアクセスする手段です。

ただし、ここでは、サイバーセキュリティ会社の顧客のものと思われる販売用のデータを発見した実務者に焦点を当てています。これらの仮定のケースでは、実践者は、Dark Webサイトで指示された通りに販売者に連絡し、顧客の承認を得て、データの購入を申し出ます。また、これらの仮説では、支払いが行われ、売り手が合意通りにデータを作成したと仮定しています。

1.データの所有権

上述したように、自分で盗んだデータを購入した場合、通常は連邦政府からの訴追のリスクはほとんどありません。しかし、盗まれたデータを確認している間に、購入者が発見したのは闇市場の売り手が作成したデータの一部には、他社のデータが含まれています。購入者の盗まれたデータは他のデータ侵害の犠牲者から盗まれた可能性の高いデータと混ざっていることが判明しました。

購入者が、購入された盗難データが他人のものであることを知らず、また知る理由もなかった場合、それを購入したことで刑事訴追を受ける可能性はほとんどない。後述する例外を前提として、盗まれたデータの所有または取り扱いに対する刑事責任は、一般的に違法な方法でデータを使用する意図が必要であり、本書では実務家がそれを欠いていると仮定しています。例えば、アクセスデバイス詐欺法では詐取する意図が必要であり、企業秘密の盗難法では情報を所有者以外の者の経済的利益に変換する意図が必要である。

しかし、許可や権限なしに他人の盗んだ情報を購入すると、購入者の意図に疑問が生じ、購入者の動機を判断するために調査の精査が必要になることがあります。このリスクを管理するために、購入したデータに所有する権利のない情報が含まれていることを認識した場合、購入者は速やかにそれを隔離し、それ以上アクセス、レビュー、または使用しないようにします。その後、購入者は、直ちに法執行機関に連絡してデータを提供するか、または実際のデータ所有者がそのデータを所有していると判断できる範囲で、その旨を通知する必要があります。これらの手順は、刑事訴追に値するような犯罪的意図がないことを証明するのに役立ちます。盗まれたデータを所有している人物に連絡を取る際には、恐喝的な要求と誤解されるような方法で連絡を取らないようにしてください。

2.データの性質

販売される盗難データの種類によって、購入を禁止する刑法があるかどうかも決まります。上述したように、ダークマーケットで販売される傾向のある盗難データの種類(パスワード、アカウント番号、その他の個人を特定できる情報など)に関連する連邦刑法の多くは、別の犯罪を助長する意図がある場合にのみ適用されます(例えば、情報を詐取するために使用する意図など)。

このため、犯罪的動機を持たない盗難データの購入者が、これらの法律の下で起訴される可能性は低いと考えられます。

知らず知らずのうちに他人の盗まれた情報を購入しても、刑事責任のリスクが生じることは通常ありませんが、故意に他人の許可なく他人の盗まれたデータを購入すると、法的なリスクが生じる可能性があります。特に企業秘密が関与している場合は、購入者の動機に疑問が生じ、法執行機関や正当なデータ所有者からの精査を受ける可能性が高くなります。

誤って営業秘密を購入した場合は営業秘密の盗難法(同法)に違反しませんが、営業秘密が盗まれたことや許可なく入手したことを知りながら営業秘密を受領、購入、または所持することは、同法の他の要素が満たされている場合には、同法に違反する可能性があります。侵害された企業秘密は、その企業秘密の所有者に損害を与えることを意図して、またはそれを知っていながら、正当な企業秘密の所有者以外の者の利益のために変換された企業秘密の譲渡またはその他の取り扱いを禁止しています。したがって、その情報の任意の使用は、当局または営業秘密の所有者による審査に値するだろう。法には、訴訟の民事原因が含まれているので、企業秘密の所有者は、刑事訴追が拒否された場合でも、民事訴訟を追求することができます。

上記で推奨されているように、販売者が購入者に帰属しない資料を作成しないようにする以外に、他人に帰属する盗品データを意図せずに購入したことで調査され起訴されるリスクを軽減する最善の方法は、そのような無関係なデータを速やかに法執行機関および/または正当なデータ所有者に連絡して引き渡すことです。そうすることで、購入者が意図せずにそのようなデータを所有したことが犯罪行為と誤解されるリスクを最小限に抑え、民事責任を軽減することができます。

3.売主の性質

特定の個人または組織と金融取引を行うことは、法律に違反する可能性があります。例えば、合衆国法律集第 18 編第 2339B条は、外国のテロリスト組織に指定されているグループに物的支援を提供すること、または物的支援を企てたり共謀したりすることを禁止しています。第2339B条の違反は、対象者が組織とテロリズムとの関係を知ることを要求する。しかし、対象者が組織のテロ活動を助長する具体的な意図を持っていることは要求されない。したがって、実務家が、販売者がそのような外国のテロ組織のメンバーであることを知っていながら盗まれたデータを購入した場合、実務家は第2339 条B 項に違反することになります。

国際緊急経済大国法(IEEPA)の下では、同様の禁止事項は、購入者が特定の個人または個人から盗まれたデータを購入することを禁止することになります。

米国政府が指定した個人・団体を対象としています。ここ数年、米国政府は、サイバー関連の不正行為を含む国家安全保障上の理由から、イラン、北朝鮮、ロシアの個人や団体を制裁する行政命令を発出してきた。これらの執行命令および規制は、特に指定されたターゲットとの貿易または経済取引を禁止しています。とりわけ、IEEPAは、これらの執行命令と規制、およびその経済・貿易取引の禁止事項に対する故意の違反を刑事化します。

司法省の国家安全保障部は、IEEPA の違反を刑事的に起訴します。IEEPAの故意の基準は、シナリオの事実に基づいてIEEPAの下で実務者を刑事的に起訴するための大きな障壁となります。闇市場で盗用データを販売する人の身元は、オンライン上の偽名のペルソナによって隠されている可能性が高いため、盗用データの販売者の身元が買い手に知られていたり、買い手が知っていたりすることはありません。買い手が売り手の身元を知らないため、買い手が経済制裁や貿易制裁の対象になっていることを知らない場合、故意の証明を必要とする刑事訴追ができない可能性があります。

しかし、民事責任はIEEPAの下で課せられることもあります。米国財務省の外国資産管理局(OFAC)は、米国の経済制裁および貿易制裁制度の民事執行を担当しています。OFACは、米国の外交政策および国家安全保障の目標に基づいて、経済制裁および貿易制裁を管理および執行しています。IEEPAの民事執行は、「厳格責任」に基づいて課せられることがあります。これは、当事者が貿易制裁または経済制裁の対象となる個人または団体との取引に関与していたことを知らなくても、民事責任を負う可能性があることを意味します。OFAC のIEEPA管理規則に基づく無許可取引は、民事上の罰金を課せられる可能性があります。民事罰の法定最高額は、毎年、インフレに合わせて調整されます。

企業は、経済制裁や貿易制裁の対象となる個人や事業体と取引していないことを確認するために、あらゆる努力をすべきである。OFAC

は、経済制裁や貿易制裁の禁止対象となる個人、地域、国との取引に伴うリスクを軽減するために、リスクベースのコンプライアンス・プログラムを実施することを奨励しています。一般市民を支援するために、OFACは、リスクベースの制裁遵守プログラムの5つの必須要素の枠組みを組織に提供することを目的とした文書「A Framework for OFAC Compliance Commitments」をウェブサイト上で公開しました。

ビジネスを行う外国の当事者が経済制裁および貿易制裁の対象となっているかどうかを確認するための手段を含む合理的なコンプライアンス・プログラム(または「交際規則」)を整備することは、IEEPの下で刑事責任を回避するための慎重な方法であり、民事責任の可能性を軽減することにもなります。また、OFACは、米国の経済貿易制裁の対象となる特別指定国民およびブロックされた者を特定するためのツールも提供しています。

シナリオ2:購入の脆弱性

ダークマーケットでサイバー脅威の情報を収集している最中に、販売されているセキュリティ脆弱性を発見した場合、その業者に開示するために購入を決定したり、脆弱性が業者の顧客を対象としている場合は特に、脆弱性が悪用されるのを防ぐためのパッチを開発したりすることがあります。また、ダークマーケットで販売されているマルウェアの新種を探して分析したり、ウイルススキャン製品で使用するためのシグネチャを開発したりする実務者もいます。

セキュリティ脆弱性やマルウェアは、コンピュータ犯罪に利用されることが多く、犯罪行為を支援するために販売された場合は連邦犯罪となりますが、セキュリティ脆弱性やマルウェアの単なる購入は、単独で、犯罪の意図がなくても、一般的には違法ではありません。しかし、言及を保証する2つの例外があります。第一に、電子通信を密かに傍受するために設計されたソフトウェアの所有または販売は、盗聴法に違反する可能性がある。

電子通信を傍受するように設計された特定のマルウェアは、この定義に該当する可能性があり、したがって、所持することは違法である。第2512条に該当する可能性のあるマルウェアを購入する場合、法的リスクを最小限に抑える最善の方法は、取引が発生する前に法執行機関と連携することです。

第二の例外は、売り手が指定外国テロ組織またはIEEPAの下で経済制裁または貿易制裁の対象となっている個人または事業体であるために購入が禁止されている場合です。これらの懸念は、盗まれたデータを購入する際に発生するものと同じです。IEEPAのような権限の下での法的責任と、それに対処するための最善の方法については、上記の議論を参照してください。

V.結論

このペーパーは、刑事フォーラムを含むサイバーセキュリティ活動を行う際に、連邦刑法に違反しないようにするための手順や考慮すべき問題点を特定することで、民間部門のサイバーセキュリティ実務者を支援することを目的としています。このような活動が適切に実施されれば、組織のサイバーセキュリティへの準備を向上させ、サイバーセキュリティの脅威に効果的かつ合法的に対応するための準備を整えることができます。

【転載】OSINT 2019 Guide


 

OSINT 2019 Guide

注意事項

  • 本資料は、セキュリティ専門家のTek氏に許可をもらい、ブログ記事『2019 OSINT Guide』を翻訳したものです(Thanks, Tek)。
  • 内容については、最大限の努力を持って正確に期していますが、本書の内容に基づく運用結果については責任を負いかねますので、ご了承ください。
  • 他の翻訳は、『Scientia Securtity on GitHub』を参照してください。
  • ブログは『セキュリティコンサルタントの日誌から』を参照してください。

概要

最近多数のOSINTプロジェクト(Open Source Intelligence)を実施しています。2019年新年のお祝いとして、私が学んだ多くのテクニックを紹介します。もちろん、これは完璧なガイドではありませんが(そして、どんなガイドも完璧にはなり得ないでしょう)、この資料が初心者にとってOSINTを学ぶ助けになり、経験豊富なOSINTハッカーが新しいテクニックを学ぶ助けになることを願っています。

方法論

伝統的なOSINT方法論を端的にいえば、以下のように言えるでしょう。

  • 要求定義(何を探しているのか?)
  • データ収集
  • 収集した情報の分析
  • ピボットと報告(収集した情報をもとにピボットを行い、更なる要求定義を行うか、調査を終了し報告書を書くか、決定します。)

この方法論はすこし直観的であり、あまり助けにならないかもしれません。しかし、私はそれでも定期的にこのフレームワークに戻ることが重要だと考えています。そして、このプロセスを反復できるように時間を取ることをお勧めします。調査中、収集されたデータ量がわからなくなり、調査の方向性を把握することが難しくなります。この場合、少し休憩を取り、Step 3とStep 4に戻ることを推奨します。つまり、分析を行い、何を発見できたか整理し、ピボットしたり、答えを引き続き探すべき新しい質問(あるいはより具体的な質問)を定義する手助けをなることを列挙します。

image

他にできるアドバイス:

  • 決してあきらめないこと。 情報を得るためにあらゆる可能性を試し、やりつくしたと感じる瞬間が来るでしょう。でもあきらめないでください。すこし休憩を取りましょう(1時間、あるいは1日別のことをしても良いかもしれません)。そして持っているデータを改めて分析をやり直し、別の視点から再度捉えなおしてみまてください。ピボットできる新しい情報があったでしょうか?もしかしたら、そもそも立てた調査用の質問が間違っていた可能性はないでしょうか?Justin Seitz氏が最近粘り強さに関するブログ記事を投稿し、様々な事例を紹介しています。
  • 証拠を保存すること。 オンラインにある情報はすぐに消失します。一回のOpSecのミス、例えばTweetに「Like」ボタンを押してしまったとしましょう。調査対象者が疑い始めたら、突然全てのソーシャルメディアアカウントとWebサイトが削除されてしまう可能性があります。そのため、証拠は保存しておく必要があります。スクリーンショット、アーカイブ、Webアーカイブ(より詳細には後で議論します)、あるいは自分にあった方法でも構いません。
  • タイムラインは役に立つ。 フォレンジック調査では、タイムラインとイベント発生時のピボットが同じタイミングであることが重要です。OSINTにおいて、タイムラインはそこまで重要ではありません。しかし、データを体系化する上でタイムラインは重要なツールとなります。いつWebサイトが作成されたのでしょうか?いつFBアカウントが作成されたのでしょうか?最後にブログが投稿されたのはいつでしょうか?こうした情報を一度テーブルに並べることで、自分が探していることについて良い視点が得られるでしょう。

そして、私が有益だと思う二つのメソッドがあります。最初の方法はフローチャートです。これは、データの種類(例えば、e-mail)に基づきより多くの情報を探し出すためのワークフローを表現した図です。私が見た中で最も良い図は、IntelTechniques.comを運営しているMichael Bazzell氏が提唱している図です。例えば、E-mailアドレス情報を調査する場合、Michael Bazzell氏のワークフローを以下に示します。

image Michael Bazzell氏によるメールアドレスに対するOSINTワークフロー

これ以降、私は自分独自の調査ワークフローを構築し、時間をかけて少しづつ自分が見つけたテクニックを付け加えて改善していくのがよい考えだと思うようになりました。

私が推奨するもう一つの方法は、特に長期間の調査に有効で、ACH(Analysis of Competing Hypotheses)という方法です。この方法論は、CIAにより1970年代に開発された方法で、アナリストが分析時にバイアスに影響されないようにし、異なる仮説を注意深く評価することを助けてくれます。これは非常に時間を必要するツールであるため粘り強く使う必要があります。しかしもし1年間の長い調査中に調査指針を失った場合は、注意深く仮説を評価することを支援する上でよいプロセスになるのでしょう。

自分のシステムを準備する

調査に入る前に、調査対象の人たちに警戒されないようにOpSecの観点から考えるべきことがあります。目立たない個人のWebサイトへアクセスすればIPアドレスを露呈することになり、自身の場所や所属をさらすことになります。ほかにも、個人のソーシャルメディアアカウントを利用し、間違って「Like」ボタンを押してしまう可能性も考えられるでしょう。

そのため、自分が調査する時は以下のルールに従うようにしています。

  • 調査用ブラウザからの全てのアクセスは、商用のVPNやTORを利用することです。 多くの商用VPNは、異なる国でサーバを提供しており、Torは出口ノードとして特定の国を選択することができます。そのため、国を選択することで、不用意なコンテキストとその痕跡を残さずに済みます(USの組織から、USのために調査を実施しているなど)
  • スキャンやクローリングのタスクは、自分との関係性がない安いVPSから行う必要があります。
  • 調査専用のソーシャルメディアアカウントを利用し、偽名で作成します。

こうした試みをすることで、臨んだ通り自分の姿を隠しながら調査をすることができ、調査対処から特定される可能性もほとんどありません。

ツール

情報セキュリティの世界において、ツールは常にみんなの興味を引く話題でしょう。但し、持っているスキルではなく、数えきれないほどのツールのリストをレジュメ(CV)に列挙している人々を除いてですが。では、はっきり言ってしまいましょう。 ツールは基本的に問題ではありません。ツールを使って何をするかが問題となります。 もし、何をしているか理解できていなければ、ツールは訳に立たないでしょう。理解できない、あるいは評価できないデータの長いリストが並ぶだけです。ツールをテストして、コードを読み、自分自身のツールを作る必要がありますが、自分のやろうとしていることを確実に理解する必要があります。

完璧なツールキットが存在しないのは当然です。最も良いツールキットは、自分が知っており、利用しやすく完璧に使いこなすことができるツールです。しかし、私が使っているツール、あるいは読者が興味をもつであろう他のツールを紹介したいと思います。

Chromeとプラグイン

私は調査用ブラウザとして、Chromeを使います。なぜなら、HunchlyというツールがChromeでしか使えないためです。ここでは、さらに有益なプラグインを紹介しておきましょう。

  • archive.is Button は、archive.isに素早くWebページを保存することができます(詳細は後に記載)
  • Wayback Machineは、archive.orgの中にあるアーカイブされたページを検索します。
  • OpenSource Intelligenceは、多くのOSINTツールへの素早くアクセスできます。
  • EXIF Viewerは、イメージ内のEXIFデータを素早くみることができます。
  • FireShotは、スクリーンショットを素早くとることができます。

Hunchly

私は最近、Hunchlyを使い始めましたが、非常に良いツールです。HunchlyはChromeのエクステンションであり、調査中に見つけた全てのWebデータをセーブ、タグづけ、検索することができます。基本的には、調査を開始するときにエクステンションにある「キャプチャ」のボタンをクリックするだけです。Hunchlyは、アクセスしたページ全てをデータベースに保存し、後でタグやノートを追加できるようにしてくれます。

これは、年間130USDかかりますが、このツールがもたらす利便性に比べればそこまで高いとは言えないでしょう。

image Hunchlyダッシュボードのスクリーンショット

Maltego

Maltegoは、OSINTツールというより脅威インテリジェンスツールと呼ぶべきでしょう。しかしグラフは、調査データを分析し、表現するうえで最も良い方法になります。基本的に、Maltegoはグラフを表現し、グラフ内に新しいデータを見つけるために変換するためのGUIを提供してくれます(例えば、Passive DNSデータベースからドメインに紐づくIPアドレスなどを表示してくれます)。少し高額ですが、脅威インテリジェンスや攻撃基盤分析などをやっていればその価値はあるでしょう。(初年度999ドル。そして、ライセンス更新ごとに年499ドルです)。ほかにも、Maltego Community Editionを使うこともできます。これは、データの変換やグラフのサイズなどに制約がありますが、小さい調査であれば十分すぎるほどの機能を提供してくれます。

image Maltegoのスクリーンショット(情報源: Paterva)

Harpoon

私は、Harpoonというコマンドラインツールを作成しました(このツールの詳細は、このブログ記事を参照してください)。これは脅威インテリジェンスツールとして作成しましたが、OSINT用コマンドを多数追加しました。これは、Linux環境にあるPython3で動き、オープンソースです(多分、MacOSとWindowsOSでも動くと思います)。

例えば、キーサーバーにあるPGPキーを探す際には、Harpoonを以下のように使います。

$ harpoon pgp search tek@randhome.io
[+] 0xDCB55433A1EA7CAB  2016-05-30      Tek__ tek@randhome.io

さらに、プラグインに関する長いリストがあります。ぜひ追加すべき新しい機能を思いついたら、提案あるいは開発、あるいはリクエストを挙げてください。

Python

しばしば、ツールを使っても簡単には終わらない特定のデータ収集と可視化タスクを早く切り上げたいと思うでしょう。その場合、自分でコードを書く必要があります。私の場合、Pythonを使うことが多いです。最近のプログラミング言語であれば同様に目的を達成できますが、私はPythonが持つフレキシビリティと利用可能な多数のライブラリを活用するため、Pythonを選んでいます。

Justin Seitz (Hunchlyの作者)は、PythonとOSINTについて言及していますので、彼のブログAutomating OSINTと彼の著書Black Hat Pythonはぜひ読んでみてください。

他のツール

OSINTツールはほかにも多数ありますが、全ての調査で有益とは言えないツールもありました。以下に、読者が知っておくべき他のツールを紹介します。個人的には必須ツールにはなりませんでしたが、こうしたツールは非常に興味深く、完成度の高いツールです。

  • SpiderFootは多数の異なるモジュールを持つ、偵察用ツールです。非常に良いウェブインターフェースを持っており、異なるタイプのデータ間の関係性を示すグラフを生成してくれます。私がこのツールを好きでない点は、利用者のために全てを見つけてきてくれる魔法のツールと考えられてしまう点です。しかし、何を探しているか利用者の考えをくみ取り、結果を分析してくれるツールはありません。要するに、自分自身で研究し全ての結果を一つづつ読まなくてはいけません。良いツールでよいインターフェイスを持っていますが、SpiderFootはその点についてはあまり役に立ちません。

image SpiderFootのスクリーンショット(情報源:spiderfoot.net)

  • recon-ngは、素晴らしいCLIツールで、異なるプラットフォーム、ソーシャルメディア、脅威インテリジェンスプラットフォームから情報を取得することができます。正直、Harpoonに正直よく似ています。なぜ使わないかというと、Harpoonが自分ニーズに必要な機能を提供してくれており、提供されるシェルインターフェイスが苦手であるためです。
  • Buscadorは、Linuxの仮想マシンで、異なるOSINTツールが含まれています。私は、いつも自分用にカスタマイズされたシステムを好みますが、ツールを一つづつインストールする手間なく新しいツールを試すことができる良い方法です。

さあ始めよう!!

さて、それでは具体的な内容に入っていきましょう。OSINT調査において何が助けになるでしょか?

技術的なインフラストラクチャ

技術的インフラストラクチャの分析は、脅威インテリジェンスとオープンソースインテリジェンスが交差する点です。しかし、いくつかの点で調査の重要なパートになり得ます。

さて、読者が探すべきは以下の通りです。

  • IPとドメイン:この目的のツールは多く存在しますが、Passive Total(現在は、RiskIQ)が最も良い情報源になると思います。Webインターフェイスから1日15クエリまで、API経由でも15クエリまで無料で使えます。ほとんどこのツールを使っていますが、RobtexHackerTargetandSecurity Trailsも他の良い代替ツールになります。
  • 証明書Censysは素晴らしいツールです。しかし、より知られておらず少し劣りますがcrt.shも非常によい証明書の透明性データベースです。
  • スキャン:IPアドレス上でどのようなサービスが動いているか確認することは有益です。Nmapを使って自分でスキャンすることもできますが、全てのIPv4アドレスに定期的にスキャンしてくれるプラットフォームを活用することもできます。その二つのプラットフォームこそ、CensysShodanです。この二つは異なる側面に焦点を当てており、それぞれの特徴を知り、両方を使いこなす必要があります(ShodanはIoTに焦点を置いており、CensysはTLSに焦点を置いています)。BinaryEdgeは最近登場し急速に発展している代替となるプラットフォームです。より最近では、Fofaと呼ばれる中国プラットフォームが登場しました。別の情報源として、Rapid7 Open Dataが挙げられますが、スキャンファイルをダウンロードする必要があり、自分で分析を行う必要があります。最後にIPアドレスに関する時系列データはプラットフォームの変遷を理解する上で金脈となることを指摘したいと思います。Censysはこうしたデータを有償プランでしか提供してくれません(アカデミックの研究者は無料で利用することができます)が、ShodanはIPごとにこうしたデータを提供してくれ、非常に素晴らしいです。harpoon shodan ip -H IPがコマンドがもたらす内容はぜひ確認してください(Shodanのライフアカウントを支払う必要があります)
  • 脅威情報:OSINTではあまり重要ではありませんが、ドメイン、IP、URLに対する悪性のアクティビティを確認することは常に興味深いことを教えてくれます。これを行うために、私はPassive TotalAlienVault OTXに依存しています。
  • サブドメイン:あるドメインに対するサブドメインのリストを取得する方法は様々あります。例えば、Google検索(Site:ドメイン)を使う方法から、証明書に記載されている代替ドメインを探す方法などが挙げられます。Passive TotalBinaryEdgeは、この機能を実装しています。そのため、初期リストを得るためであれば、こうしたサービスに直接クエリを投げることが手っ取り早いでしょう。
  • Googleアナリティックスとソーシャルメディア:最後の情報は、とても興味深いもので、複数のwebサイトで、同じGoogleアナリティックス・アドセンスIDを使っているか確認することです。このテクニックは2015年発表され、ココに詳しく書かれています。こうしたコネクションを探すためには、私はPassive TotalSpyOnWebNerdyDataを使っています。 (publicwwwは、別の有償サービスとして知られています)。

検索エンジン

コンテキストに依存して、調査中は異なる検索エンジンを使い分けてるかもしれません。私は、そのほとんどをGoogle、Bing(欧州・北米用)、Baidu(アジア用)、Yandex(ロシア・東ヨーロッパ)に依存しています。

もちろん、最も基礎的な調査ツールは、検索演算子です。Googleの検索演算子のリストはココにあります。以下に最も興味深いものを抜粋しました。

  • 以下のブーリアン型の論理演算子を使いクエリを結合することができます。ANDOR+-
  • filetype:特定のファイル拡張子を検索を行います。
  • site:特定のWebサイトへフィルタを書けます。
  • intitleinurl:タイトルやURLにフィルタを行います。
  • link:特定のURLへのリンクを持つWebサイトを探すことに特化します。(2017年に非推奨になりましたが、現在でも一部機能します)

以下に例文を示します。

  • NAME + CV + filetype:pdf:この組み合わせは特定のCVを探し出すのに役立ちます。
  • DOMAIN - site:DOMAIN:Webサイトのサブドメインを探すのに役立ちます。
  • SENTENCE - site:ORIGINDOMAIN:特定の文章をコピーしたり剽窃したサイトを探し出します。

よく詳しくなるためには、以下を参照してください。

画像

画像の観点では、二つのことを知っておくべきでしょう。どのように画像に関する追加情報を探し出すか、そしてどのように類似した画像を探し出すかです。

追加情報を探し出すためには、最初のステップとして、EXIF情報に注目しましょう。EXIF情報は、イメージが作成されたときに付与されるメタデータであり、作成時刻、使われたカメラの情報、さらにはGPS情報が付与されていることもある非常に面白い情報を含んでいます。これらを確認するため、私はコマンドラインツールであるExifToolを使うことが多いですが、ChromeFirefox向けに提供されているExif Viewerアドオンも非常に使いやすいと思います。さらに、面白い機能を備えているPhoto Forensic website使うのも一つの手でしょう。(他の代替手段として、exif.regex.infoFoto Forensicsも挙げられます)。

似たようなイメージを探すためには、Google ImagesBing ImagesYandex ImagesTinyEyeを使えばよいでしょう。TinyEyeは使いやすいAPIを提供しており(使い方はココを参照のこと)、Bingは画像の特定の部分を使って検索することができる有益な機能を持っています。remove.bgなどのツールを使って、イメージのバックグラウンドを取り除くことで、より良い結果を得ることができます。

例えば、場所を見つけ出すなど、画像の内容を分析する楽な方法はありません。どの国が候補に挙がるか推測するためには、画像の中に移りこんでいる特定の目印を探し出す必要があります。そして、ネット上で検索を行い、衛星画像と比較していく必要があります。このテクニックについて学ぶためには、Bellingcatが実施した興味深い調査結果が、ココココにありますので参照してください。

さらに学ぶためには、以下のリソースを参照してください。

ソーシャルネットワーク

ソーシャルネットワークの分野では、多くのツールが存在します。しかし、プラットフォームに多く依存します。以下に有益なツールとテクニックを抜粋します。

キャッシュプラットフォーム

調査時において、素晴らしい情報源になるものの一つに、Webサイトのキャッシュを作成するプラットフォーム群が挙げられます。なぜなら、Webサイトは押したり、Webサイトの時系列的な変遷を分析できるためです。こうしたプラットフォームは、自動的にWebサイトをキャッシュするものもあれば、リクエストに応じてキャッシュするものもあります。

検索エンジン:多くの検索エンジンは、クローリングしたときのWebサイトのコンテンツをキャッシュとして保存します。これは非常に有益であり、多くのサイトのキャッシュを見ることができます。但し、最後にキャッシュされるタイミング(多くの場合1週間以内だと思います)を管理できないこと、すぐに削除されてしまう事実も抑えておく必要があります。そのため、もし面白い情報をキャッシュ上で見つけたら、すぐに保存することをお勧めします。私はGoogleYandex、Bingなどの検索エンジンのキャッシュを使っています。

インターネットアーカイブInternet Archiveは、インターネットに公開された全てを保存するという目的で動いているプロジェクトです。この中には、自動的にクローリング対象のWebページを保存するだけでなく、そのサイトの変遷も巨大なデータベースとして保存しています。彼らは、Internet Archive Wayback Machineと呼ばれるWebポータルを提供しており、Webサイトの変遷を分析する上で非常に優れた情報源です。一つ知っておくべき重要なことは、Internet Archiveは要請があればコンテンツを削除するということです。(実際、Stalkerware company Flexispyの件で、削除したことがあります)。そのため、保存しておく必要があるコンテンツは、別の場所に保存しておく必要があります。

他の手動キャッシュプラットフォーム:私は、Webページのスナップショットを保存でき手、他の人が取得したスナップショットを閲覧できるarchive.todayを好んで使っています。多くの調査でこのサイトへ依存しています。perma.ccも良いですが、無料アカウントでは1か月10リンクまでしか使えないという制限があり、プラットフォームは、図書館や大学に焦点を当てています。このソースコードはオープンソースで提供されており、キャッシュプラットフォームを独自で構築したいと考えた場合、間違えなくこのソフトを使うでしょう。

Webキャッシュが存在するか一つづつ手作業で確認していくことはめんどくさいと考える人も多いでしょう。そのため、私は、Harpoonに簡単なコマンドを実装しました。

image

さらに、以前言及したHunchlyは、「レコーディング」機能を有効にした場合、アクセスしたあらゆるページをローカルアーカイブに自動的に保存してくれることも覚えておく必要があります。

証拠の取得

次のポイントに移りましょう。それは、証拠の取得です。証拠の取得は、調査における重要なフェーズの一つです。特に、調査が長引く場合には非常に重要です。間違えなく、Webサイトが変更された、Twitterアカウントが削除されたなど、何度か自分が見つけた証拠をなくす経験をするでしょう。

image

覚えておくべきことは、以下の通りです。

  • Internet Archiveに完全に依存することは難しいですので、他のキャッシュプラットフォームや可能であればローカルに保存することをお勧めします。
  • 画像、文書を保存しましょう。
  • スクリーンショットを取得しましょう。
  • ソーシャルメディアに関する情報を保存しましょう。攻撃者はいつでもこうした情報を削除することができます。(Twitterアカウントにおいては、Harpoonは、ツイートとユーザ情報をJSON形式のファイルで保存するコマンドを用意しています。)

さらに勉強するためには、以下のリソースをご覧ください。

短縮URL

短縮URLは、利用する際に非常に興味深い情報をもたらします。異なるサービスにおいて、統計情報を取得する方法をまとめました。

  • bit.ly:URLの最後に、https://bitly.com/aa+ のように + を追加してください。
  • goo.gl:(もうすぐ非推奨になりますが)URLの最後に + を追加することで、https://goo.gl/#analytics/goo.gl/[ID HERE]/all_time のようになURLへリダイレクトします。
  • ow.ly:hootsuite社が提供する短縮URLサービスですが、統計情報を見ることはできません。
  • tinyurl.com:統計情報を取得できませんが、http://preview.tinyurl.com/[id] にすることでURL自体をみることができます。
  • tiny.cchttps://tiny.cc/06gkny~ のように ~ をつければ、統計情報を見ることができます。
  • bit.dohttp://bit.do/dSytb- にハイフン(-)をつければ、情報を取得することができます。(統計情報は非公開の場合があります)
  • adf.ly:この短縮URLは、リンクへのリダイレクト時に広告を表示することで収益を上げることを提案しているサービスです。彼らは、j.gsq.gsなどその他のサブドメインを多数利用し、公開の統計情報を閲覧することができません。
  • tickurl.comhttps://tickurl.com/i9zkh+ のように + をつければ統計情報へアクセスできます。

いくつかの短縮URLは連番のIDが使われている可能性があります。その場合、同時刻に作成された似たようなURLを推測できる可能性があります。このアイディアの事例はこのレポートを参照してください。

企業情報

いくつかのデータベースでは、企業情報を検索することが可能です。メインで利用されるものは、Open CorporatesOCCRP database of leaks and public recordsが挙げられます。その後、各国に応じたデータベースに依存していきます。例えば、フランスではsociete.comが有名ですし、米国であればEDGARへ、イギリスであればCompany Houseへアクセスすべきでしょう(より詳細な情報は ココから参照してください)。

参考文献

OSINTを学ぶ上で更なるリソースとしていかが挙げられます。

これですべてです。時間をかけてこのブログを読んでくれてありがとうございます。もし追加すべきリソースがあればTwitterなどから気軽にコンタクトしてください。

このブログ投稿は、Nils Frahmを聞きながら書きました。

更新1:Yandex Imagesremove Background Forensicを追加しました。このテクニックを教えてくれたJean-Marc Manachfo0に感謝します。

(恐らく)2020年最後のマリオットポイント購入&50%増量セール(2020年11月26日~12月22日)


会員の方は、ご購入またはプレゼントされたポイントに50%のボーナスがつきます。会員が1暦年中に購入またはプレゼントできるポイント数は50,000ポイントが上限ですが、このセール期間中は3倍の150,000ポイントになります。

このオファーは、マリオットのウェブサイトからアクセスできます。

ポイントを受け取る会員のアカウントは、最低90日以上、または資格のある活動があった場合は30日以上オープンしていなければなりません。

Here’s the price at a 50% bonus:


50%のボーナスで購入したポイントのコストは、1ポイントあたり0.83セント(1,875円で225,000円分のポイントがもらえる)です。

結論

現在のアワードの空室状況は素晴らしく、通常よりも少ないポイント数で販売されているホテルも多くあります。

ポイントを利用した予約は、高額な宿泊施設や、前払いや返金不可の料金よりもキャンセルの柔軟性が必要な場合には、最も意味があります。

JAL、JGC・FLY ONステイタスカードの全員への発行終了 2021年から希望者のみに(転載)~コスト削減の嵐と思いつつ、実際は搭乗券にステータス印字されるので、カードを使うことはなく、理解はできる~


JAL、JGC・FLY ONステイタスカードの全員への発行終了 2021年から希望者のみに:

日本航空(JAL)は、JALグローバルクラブ(JGC)会員と、FLY ON ステイタスを達成した全員に対するステイタスカード発行を、2021年から取りやめる。

公式アプリの「JAL」アプリでステイタスを確認できることから、全員に対するカード発行を取りやめ、希望者のみにカードを発行する。申込期間は2021年2月中旬から12月中旬まで。

FLY ON ステイタスカードまたはJGC ワンワールド サファイアカードは、申込手続き時点で有効な最上位のステイタスカードを申し込める。なお、JALグローバルクラブ会員のFLY ON ステイタスカードには、従来どおりJALグローバルクラブのロゴが入る。

上位ステイタスの達成、発行済ステイタスカードの有効期限更新が必要なタイミング、もしくは日本地区以外でのJALグローバルクラブへの入会で申し込みができる。2022年3月末または2023年3月末まで有効なステイタスカードを発行済みの場合、同じステイタスのカードを申し込むことはできない。再発行は電話での問い合わせが必要。新型コロナウイルス特別対応により、FLY ON ステイタスが2022年3月末まで延長の対象の場合、申込みができる。

【転載】Win10 HomeエディションでWindows Updateを抑制する方法 / Take control of Windows 10 feature updates using these settings


マイクロソフトは、Windows UpdateがWindows 10の新しい機能アップデートをインストールする方法をユーザーがより大きくコントロールできるようにする新しい設定を追加しました。"

Windows 10のバージョン1903で、Microsoftは、グループポリシーエディタで使用し続けたい特定のWindows 10機能アップデートを設定する機能を追加しました。10月には、Patch Tuesdayのアップデートで、デバイス上のセーフガードホールドをバイパスできる追加ポリシーが追加された。

この記事では、Windows 10の機能アップデートをコントロールできるように、両方のグループポリシーを強調しています。

Windows 10の機能アップデートバージョンを指定

Windows 10には「TargetReleaseVersionInfo」と呼ばれる新しいポリシーが搭載されており、機能のアップデートがインストールされないようになっています。

このポリシーを使用すると、使用するWindowsのバージョンを指定して、指定したバージョンがサポート終了に達するまで、Windows 10が新しい機能リリースをインストールしないようにすることができます。


このポリシーはWindows 10 Pro版とEnterprise版でのみ機能し、使用するWindows 10のバージョンを設定することができます。

また、以下の手順でWindows 10 Homeでも有効にすることができます。

  1. Windows検索を開きます。
  2. レジストリエディタ」を検索し、検索結果に表示されたら選択します。
  3. レジストリエディタで、以下の場所に移動します。HKEY_LOCAL_MACHINE\SOFTWAREPolicies\MicrosoftWindows\WindowsUpdate
  4. Windows Updateを右クリックし、「新規作成」→「DWORD(32ビット)値」を選択します。
  5. 名前に「TargetReleaseVersion」と入力し、値を1に設定します。
  6. ここで、再度Windows Updateを右クリックし、「新規作成」→「文字列の値」を選択します。


  7. 新しい文字列の値に「TargetReleaseVersionInfo」という名前を付け、その値にとどめておきたいWindows 10のバージョン番号を設定します。
Windows 10のバージョン2004を使用して20H2を回避したい場合は、「2004」という値を設定する必要があります。

セーフガードホールドのバイパス

Windows 10の2020年10月のパッチチューズデーアップデートで、グループポリシーエディタには、アップグレードブロック(デバイスに配置されたセーフガードまたは互換性ホールド)をバイパスできるようにする1つの新しいポリシーが付属しています。

最近のWindowsアップデートの騒動の後、Microsoftは互換性のないドライバやソフトウェアなどを搭載したデバイスの機能アップデートをブロックするために「セーフガードホールド」を導入しました。

新しいポリシー「機能アップデートのセーフガードを無効にする」を使用すると、これらのアップグレード ブロックを削除することで、Windows 10 アップデートをより迅速にダウンロードしてインストールすることができます。

このポリシーは、[コンピュータの構成] > [管理テンプレート] > [Windows コンポーネント] > [Windows Update] > [Windows Update for Business]の下で使用できます。この機能を使用するには、ポリシー「機能アップデートのセーフガードを無効にする」を選択して有効にします。


"セーフガードホールドをブロックせずに、機能アップデートをデバイスに展開する場合に、この設定を有効にします。セーフガードホールドとは、既知の互換性の問題で、問題が解決されるまでアップグレードが影響を受けるデバイスに展開されないようにブロックするものです。このポリシーを有効にすると、テスト用のデバイスに機能アップデートを展開したり、セーフガードホールドをブロックせずに機能アップデートを展開したりすることができます」とポリシーでは説明されています。

また、Windows 10 Homeでも、以下のレジストリファイルで有効にすることができます。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]
"DisableWUfBSafeguards"=dword:00000001

Googleのシステム障害、認証サービスダウンがはらむリスクがあらわに(転載)~クラウドサービス使うときは、年1回程度の大規模障害を受け入れる覚悟が必要~


Googleのシステム障害、認証サービスダウンがはらむリスクがあらわに:

 2020年12月14日20時55分ごろから約50分間にわたってGoogleの主要サービスが使用できなくなった。日本ではすでに終業時間の企業が多かったが、Googleアカウントに関連するサービスが約50分間使用できなくなった。

サービスダウンではなく認証システムのトラブル、発生の要因は

 本稿執筆時点でGoogleから今回のサービス停止に関する詳細報告はない。現時点では「Google Cloud Status Dashboard」に掲載されている簡素な説明が障害の原因を伝えるのみだ。

 執筆時点での説明によれば、今回のサービス停止は「Google Cloud Platform」および「Google Workspace」で動作するもののうち、アカウントログインと認証を必要とする全てのサービスで発生した。原因は、クラッキングなどではなく、自動化されたクォータ(quota)管理システムにあるとされている。

 クオータとは、システムやアプリケーションごとにストレージの利用条件を設定する仕組みだ。一つのサービスがストレージを全て使い尽くしてしまうリスクを避ける場合などに使われる。

 今回の障害は、Googleが運用する「中央ID管理システム」が必要とするストレージ容量が、クオータの設定によって不足したことで、認証システムが適切に動作しなくなったことが原因だという。データ量がクオータの設定上限に至った理由や自動拡張されなかった理由はまだ明らかになっていないため、単純な設定の問題か、認証サービスダウンを狙った悪意ある攻撃の影響なのかは定かではない。

単一アカウントを使用することの利便性と危険性

 「Google Workspace」を契約するビジネスパーソンであれば、Googleが提供するさまざまなサービスを利用していることだろう。Google以外のサービスの認証にGoogleアカウントを利用するケースも考えられる。

 今回のサービス停止は、こうした単一のアカウントに依存した状況が障害発生時の回避方法の選択肢を狭めるものであることを示す結果となった。障害が発生した時間帯が日中であればさらに多くの企業が影響を受けた可能性がある。

 今回の問題はGoogleが直接提供するサービスに限定されるものではなく、Googleの認証機能を使用するサードパーティー製のサービスでも発生した。

【転載】マイクロソフトは2021年8月17日のInternet Explorer終息に着手 / Microsoft begins to finally kill off Internet Explorer



マイクロソフト社は、Chromiumベースの新しいブラウザ「Microsoft Edge」を採用して、時代遅れのInternet Explorerを廃止するために、さらなる措置を講じようとしている。

マイクロソフト社は何年にもわたってユーザーにInternet Explorerからの切り替えを勧めてきたが、いまだにブラウザの市場シェアは5%近くにとどまっている。

多くの人にとってはまだ始まっていないとしても、間もなく開始されるマイクロソフトは、人々をInternet Explorerから遠ざけるためのより積極的な措置を取ることになるだろう。

互換性のないサイトのMicrosoft Edgeへの自動リダイレクト

Microsoft Edgeの最近のバージョンから、Internet Explorerが互換性のないサイトにアクセスすると、Microsoft Edgeで自動的にブラウジングセッションが起動し、ブラウジングセッションを継続するようになりました。

互換性のないサイトのリストはMicrosoftが管理しており、現在はTwitter、Facebook、Instagram、Google Drive、Microsoft Teams、ESPN、Yahoo Mailなど1,156サイトが含まれています。

このリダイレクトは、以下のように「IEtoEdge BHO」というInternet Explorerのブラウザヘルパーオブジェクト(BHO)を介して行われます。


BHOに関連付けられたファイルは、「C:Program Files (x86)」フォルダの下にあります。

ie_to_edge_bho.dll
ie_to_edge_bho_64.dll
ie_to_edge_stub.exe

BHOでは、Webサイトを閲覧する際に、Internet Explorerに対応していないWebサイトがないかどうかを確認しています。対応している場合、BHOは自動的にMicrosoft Edgeでサイトを開き、以下のように「このサイトはInternet Explorerでは動作しません!」というメッセージを表示します。


アラートを表示すると、Microsoft Edgeでは、Internet Explorerの設定やデータ、CookieをMicrosoft Edgeに移行するようユーザーに促すメッセージも表示されます。
 
"以下の閲覧データがインポートされます。お気に入り、パスワード、検索エンジン、開いているタブ、履歴、設定、クッキー、ホームページ」とマイクロソフトは説明する。

データを移行しないことを選択した場合でも、『ブラウジングを続ける』ボタンをクリックして、Microsoft Edgeでウェブサイトを閲覧することができるという。

Internet Explorerと互換性のないサイトを閲覧している間、Microsoft Edgeでは、デフォルトブラウザを新しい最新のブラウザに設定するよう促すバナーが表示されます。


Microsoft Edgeでサイトを開くと、互換性のないサイトのIEタブは、コンテンツがなかった場合は自動的に閉じられます。そうでない場合は、"あなたが到達しようとしていたウェブサイトはInternet Explorerでは動作しません "と説明するMicrosoftのサポートページにリダイレクトされます。


10月26日、マイクロソフトは、先日追加されたサポートドキュメントに詳細が記載されているこのリダイレクト動作をユーザーが制御できるようにする新しいグループポリシーテンプレートを導入します。

  • RedirectSitesFromInternetExplorerPreventBHOInstall - Internet Explorer での「IEtoEdge BHO」のインストールを防ぐことができます。
  • RedirectSitesFromInternetExplorerRedirectMode - Internet Explorer の Microsoft Edge へのリダイレクトを無効にします。
  • HideInternetExplorerRedirectUXForIncompatibleSitesEnabled - 管理者がMicrosoft Edgeに表示されるリダイレクトアラートを無効にできるようにします。

Microsoftのサポート文書では、このリダイレクトは11月17日頃にリリースされるMicrosoft Edge 87で開始されるとされていますが、BleepingComputerのテストでは、Microsoft Edge 86.0.622.51ですでにリダイレクトが発生しています。

マイクロソフトのサービスは11月にIEのサポートを失う

今回のリダイレクトに加えて、Microsoftは、Microsoftが提供するさまざまなサービスでInternet Explorerのサポートを無効化する予定だという。

また、Microsoftは8月のブログ記事で、Microsoft Teamsが11月30日からInternet Explorer 11のサポートを終了することを明言していた。

Microsoftは最終的に、2021年8月17日にすべてのサービスでInternet Explorerのサポートを終了する予定だ。

引き続きInternet Explorerのサポートを必要とするユーザーは、Microsoft EdgeのInternet Explorer Modeを使用して後方互換性を保つことができるようになる。

【転載】Windows 10はコントロールパネルを非表示にしている。どうアクセスするか / Windows 10 now hides the SYSTEM control panel, how to access it



Windows 10 now hides the SYSTEM control panel, how to access it:

Windows 10 20H2のリリースに伴い、Microsoftは現在、由緒あるSYSTEMコントロールパネルへのアクセスを禁止し、代わりに新しく更新された「バージョン情報」設定ページにユーザーをリダイレクトしています。

SYSTEMコントロールパネルは、Windows NT 3.51とWindows 95で最初に導入され、インストールされているWindowsのバージョン、オペレーティングシステムのビットタイプ、コンピュータ名、ワークグループ、CPU、およびメモリに関する情報を提供します。

コントロールパネルはコンピュータに関する多くの情報を提供しているため、Windows PCのトラブルシューティングやコンピュータの基本情報を決定する際によく使用されています。


7月にBleepingComputerは、Microsoftが「バージョン情報」の設定ページを更新し、SYSTEMページにある情報のほとんどを含むようにしたと報じた。当時、マイクロソフト社は、SYSTEMコントロールパネルを開いたときにユーザーを「バージョン情報」ページにリダイレクトする隠し機能もテストしていました。


Windows 10 20H2で、マイクロソフトはコントロールパネルの棺桶に別の釘を打ち込み、ユーザーがSYSTEMコントロールパネルにアクセスできないようにしました。現在、ユーザーがそれを開こうとすると、代わりに [バージョン情報] ページが表示されます。
 
最新のディスク管理ツールのテスト、リフレッシュレートオプション、「プログラムと機能」コントロールパネルを「アプリと機能」設定にリダイレクトするテストを行うことで、マイクロソフトがコントロールパネルを徐々に削除していることがわかります。

最終的には、Windows 10 は設定が異なる場所に配置されていて混乱しているので、これは良いことだと思います。設定機能の下にそれらを整理することで、特定の設定を見つけやすくなります。

日常的にSYSTEMコントロールパネルを使用している方には朗報ですが、以下に説明するように、まだアクセスする方法があります。

Windows 10 20H2でSYSTEMにアクセスする方法

MicrosoftがSYSTEMコントロールパネルをリダイレクトしている間、特別に細工されたWindowsショートカットを介してアクセスする方法があります。

SYSTEMコントロールパネルを開くショートカットを作成するには、以下の手順に従ってください。

  1. Windowsデスクトップが表示されるように、開いているすべてのアプリケーションとフォルダを最小化します。
  2. デスクトップを右クリックし、以下のように「新規作成」>「ショートカット」を選択します。


  3. ショートカットの作成] ウィンドウが開いたら、[エクスプローラーシェル::{BB06C0E4-D293-4f75-8A90-CB05B6477EEE}をコピーしてフィールドに貼り付けます。その後、「次へ」ボタンを押します。


  4. ショートカットの名前を尋ねるページが表示されます。名前に「SYSTEM」と入力し、「完了」ボタンを押します。


  5. デスクトップにSYSTEMというショートカットが作成され、SYSTEMコントロールパネルを再度開くために使用できるようになります。


Windows 10 20H2でこのショートカットを作る方法を説明した動画が以下にあります。


この SYSTEM ショートカットは、スタートメニューで「SYSTEM」を検索し、「アプリ」セクションの下に表示されるアイコンを選択することで、スタートメニューから直接起動することもできます。

現在の Windows 10 Insider プレビュー ビルド(Windows 10 20231 でテスト済み)では、SYSTEM コントロール パネルにアクセスする他のすべての方法は、新しい [バージョン情報] ページにリダイレクトされます。