週刊OSINT 2021-48号 / WEEK IN OSINT #2021-48（転載）

WEEK IN OSINT #2021-48

ストリートビューとシェード、ドメイン、ジョブ、マップなど、今回も素敵に満たされたニュースレターです。

今号も盛りだくさんのトピックで、ニュースレターをお届けします。これから登場するサイトやヒントを探索するのが楽しくて、もっと時間があれば全部遊びたいくらいです。トップの画像は侵入されてメッセージを残されちゃった無防備で残念なウェブカメラの映像です。

• Street View Applications
• Shademap
• OSINT Jobs
• Domains
• World of Wigle
• IPVM Camera Calculator
• Maps, Maps and More Maps!

メディア: Street View Applications

Benjamin Strickは先週、ストリートビューアプリケーションが捜査にどのように利用できるかを紹介する新しいビデオをアップロードしました。Googleのストリートビューだけでなく、Googleが存在感を示さない地域で役に立つかもしれない代替手段も紹介しています。

サイト: Shademap

Twitterユーザーの@truted2が、特定の場所、特定の日時に影が落ちる様子を見ることができるインタラクティブマップを作成しました。Shademapは全てブラウザ上で動作し、Mapboxの3Dデータセットをソースとして使用しています。この素晴らしいツールを作ってくれて、ありがとうございます

サイト: OSINT Jobs

かなり待たされましたが、ようやく本番です。Loránd Bodóは、OSINT Jobsというサイトが正式にオープンしたことを伝えました。このサイトでは、インテリジェンスの分野におけるさまざまな仕事と、今後予定されているポッドキャスト、そしてより多くの記事を紹介する予定です。

小技: Domains

White Hat Inspectorは先週、DMNSというサイトで、15種類のTLDの中から類似したドメインを簡単に見つけることができるという、素晴らしいヒントを紹介してくれました。ドメイン名を入力するだけで、どのサイトが似ているか、あるいは全く関係ないかを素早く確認することができます。また、スクリーンショットや技術的な情報も掲載されています。このサイトを紹介してくれてありがとうございます。

記事: World of Wigle

公開前に@Ginger__Tさんの記事を読ませていただきました。私はWigleのファンであるだけでなく、Gingerが共有する詳細な情報が大好きです。SSID、MACアドレスの検索方法に関する基本的なステップに加え、一部の人が認識していなかったBluetoothデータセットにも触れています。もしあなたがWiFiデータセットの世界に初めて足を踏み入れるなら、この記事を読んでみてください。

サイト: IPVM Camera Calculator

IPVMはビデオ監視のための独立したプラットフォームで、そのウェブサイトではさまざまな情報を提供しています。そしてBen Heublは、そのサイトで「カメラ計算機」という素晴らしいツールを見つけました。これは、カメラとその角度、解像度をプロットできるツールで、状況をプロットすることができます。また、カメラに関する大規模なデータベースがあり、事前に設定された情報を使って、撮影可能な画像の品質について良いアイデアを得ることができます。

リンク: Maps, Maps and More Maps!

Twitterユーザーの@ohshint_さんが先週、素晴らしい地図のリストをシェアしてくれました。もし、あなたが何かに必要な地図があるのなら、この果てしないリソースのリストを見てみてください。私が2017年のフォレンジッククイズのステージの1つを作るのに使ったサイトもありますよ。素晴らしいリストです！これをキュレーションしてくれてありがとう。

航空機内で飲んで大騒ぎのカナダのパリピ、航空会社に搭乗拒まれてメキシコから帰国できず

機内で飲んで大騒ぎの一行、航空会社に搭乗拒まれ帰国できず

カナダからメキシコのカンクンへ向かう旅客機の機内でマスクをせずに飲酒したり電子たばこを吸ったりして大騒ぎしていたグループが、帰国便への搭乗を拒まれてメキシコで足止めされている。

帰国できなくなっているのは「プライベートクラブ」主催のツアーに参加した一行で、2021年12月30日にカナダのサンウィング航空が運航するチャーター便に搭乗して、カナダのモントリオールからカンクンへ向かった。

しかし機内の通路で踊ったり飲酒したりしている乗客の動画が出回って憤りの声が噴出し、カナダ運輸省が調査に乗り出した。乗客には多額の罰金などが科される可能性がある。

カナダのジャスティン・トルドー首相は2022年1月5日、「激しい憤り」を覚えると述べ、「無責任さで自分たち自身や同乗者、乗務員を危険にさらす人たちを見て打ちのめされた」と語った。

ツアーを企画したトリップワンのジェームズ・ウィリアム・アワド社長は６日、「多くの人が現状に腹を立てている理由は認識している」とツイートした。 

サンウィング航空は、同航空が提示した条件に一行の同意が得られなかったとして、2022年1月5日に予定していた帰国便の運航を中止した。

アワド社長によると、帰国便をめぐるサンウィングとの交渉でネックとなったのは機内サービスの内容だった。アルコール飲料を出さないなどの条件には同意したが、機内食も出さないとした条件には同意できなかったとしている。

エア・カナダやエア・トランザットも、同乗する乗客や乗員の安全を理由に、この一行の帰国便への搭乗は認めないと表明した。

アワド社長は、ツアーの参加者全員をできるだけ早く帰国させるために尽力するとしている。

アンカリングとは（転載）

BlackTechの件、12月1日に出た記事が起点になってそうではある。一種のアンカリング的なものを感じる。

アンカリング（英: Anchoring）

アンカリングとは認知バイアスの一種であり、先行する何らかの数値（アンカー）によって後の数値の判断が歪められ、判断された数値がアンカーに近づく傾向のことをさす。係留と呼ばれることもある。

例えば、「国連加盟国のうちアフリカの国の割合はいくらか」という質問をしたときに、質問の前に「65%よりも大きいか小さいか」と尋ねた場合（中央値45%）、「10%よりも大きいか小さいか」と尋ねた場合（中央値25%）よりも、大きい数値の回答が得られるという。

また、数値を明確に提示しなくてもバイアスは生じる。「8×7×6×5×4×3×2×1」または「1×2×3×4×5×6×7×8」という計算の結果を、5秒以内に推測してもらった場合、前者（中央値2,250）のほうが後者（中央値512）よりも大きい推測の値が得られたという（正答は40,320）。

また、日本語話者が「ピザ」と10回言わされた後に、肘(ひじ)を指差して「ここは?」と問われた際に「ひざ」と答えてしまう現象も、アンカリングである。

他の例に、ダン・アリエリーが、ニューヨーク・タイムズによるベストセラー本に選出された著書『予想どおりに不合理』で挙げたものがある。まず講義の聴衆に対し、彼らの社会保障番号の下2桁と同じ値段（ドル）で、ワインやチョコレートなど6種の品物を買うかどうかを質問した。その後、その品物に最大でいくら払えるかを質問したところ、社会保障番号の下2桁の数字が大きい人ほど、高い値段で買おうとする傾向が見られた。

2021年のループイフダンの利益。年間データまとめ～ループイフダンは目標利益からどれだけリスクを取るかを考える～

【年間28900pip！】2021年のループイフダンの利益。年間データまとめ【アイネット証券】:

2021年のループイフダンの利益データが出た。

個人的にループイフダンはリスクベースの投資手法だと思う。

利益をたくさん求めるのであれば相応のリスクを取らなければならない。

1000通貨当たりの利益は実績データがあるため、自分の投下資金の何％を利益とするか比較的計画を立てやすい。

例えば、資金600万を投じて4%の利益を求めたければ年間目標利益は24万円、それを実現するためには、ドル/円の場合、15Bを1000通貨、25Bを1000通貨、50Bを1000通貨分動かせが、近い利益を期待できるということになる。

もちろん25Bを3000通貨分動かして同様の結果を得ることができる。

15Bを2000通貨分動かしてもよいが、円安に振れたときに25Bと比べて資金枯渇リスクが高くなる。

ここら辺は少し悩みどころである。

【2022年度方針】

■案1

・15B：1000通貨

・25B：1000通貨

・50B：1000通貨

■案2

・25B：3000通貨

■案3

・25B：2000通貨

・50B：1000通貨

・100B：1000通貨

ループイフダン利益・相場まとめ2021年11月

ループイフダン利益・相場まとめ2021年11月【アイネット証券】:

2021年11月のループイフダンの利益が出た。

25Bで稼働させた場合の利益は1,000通貨で10,250円

50Bで稼働させた場合の利益は1,000通貨で7,000円

現在のループイフダン稼働状況は25Bを2000通貨、50Bが1000通貨となる。

となると、想定利益は27,500円

実績はというと、11/1～11/30の売買益が25,909円

ん、ちと足りない(||ﾟДﾟ)ｶﾞｧｧｰｰｰﾝ(ﾟДﾟ||)

一方で、ループイフダン内資産に対する目標利益率(年4%≒21,558円)に対してはクリアできている。

引き続き25B 2000通貨、50B 1000通貨で継続しようと思う。

[KALI LINUX] SET：Social-EngineerToolkit

Kali Linux Web 渗透测试秘籍 第九章 客户端攻击和社会工程

Social-Engineer Toolkit (SET)は、特に人間の要素に対して高度な攻撃を行うために設計されています。SET は David Kennedy (ReL1K) によって書かれ、コミュニティからの多くの支援によって、これまでにない攻撃が組み込まれたエクスプロイト・ツールセットになりました。このツールキットに組み込まれた攻撃は、侵入テストで使用する人物や組織に的を絞った攻撃となるように設計されています。

これまで見てきた手法のほとんどは、サーバー側の脆弱性や設計上の欠陥を突いて、そこにアクセスし、データベースから情報を抜き出そうとするものです。 また、サーバーを利用して、ユーザーのソフトウェアの脆弱性を突いたり、ユーザーの持っている情報にアクセスするために、通常しないようなことをさせようとする攻撃もあります。 これらの攻撃はクライアントサイド攻撃と呼ばれる。

本章では、ソーシャルエンジニアリング、スプーフィング、ソフトウェアの脆弱性を悪用し、攻撃者がクライアントから情報を取得するために使用するテクニックをいくつか紹介します。

特にウェブアプリケーションの侵入テストとは関係ありませんが、ほとんどがウェブベースであり、クライアントを攻撃する際にアプリケーションやサーバにアクセスすることができる非常に一般的なシナリオであるため、取り上げることにしました。 そのため、侵入テスト担当者は、攻撃者がどのようにこれらのタイプの攻撃を実行するかを理解することが非常に重要です。

SETでパスワードコレクターを作成する

ソーシャルエンジニアリング攻撃は、クライアントサイド攻撃の特殊な形態と考えることができます。 このような攻撃では、攻撃者はユーザーに、攻撃者が信頼できるコピーであり、ユーザーが所有するある情報を受け取る権利があると確信させる必要がある。

SET（Social-EngineerToolkit）は下記を参照ください。Kali Linux2021.4から追加されています。

https://www.trustedsec.com/social-engineertoolkit/

このレシピでは、SET を使ってパスワード・コレクターの Web ページを作成し、それがどのように機能するか、また攻撃者がそれを使ってどのようにユーザのパスワードを盗むことができるかを見ていきます。

操作手順

1. ルート端末で、次のコマンドを入力します。
   
   

   sudo setoolkit

   
   
   
   
   
2. set>プロンプトに1（Social-Engineering Attacks）と入力し、Enterキーを押します。
   
   
   
   
   
3. 次に、「Web Site Attack Vectors」（オプション2）を選択します。
   
   
   
   
   
4. 次に、「Credential Harvester Attack Method」（オプション3）を選択します。
   
   
   
   
   
5. 次にSite Cloner（オプション2）を選択します。
   
   
   
   
   
6. Harvester/TabnabbingにPOSTバックするためのIPアドレスを要求されます。これは、収集した証明書の送信先のIPを意味します。ここでは、KaliホストのIP （例：192.168.56.1）を入力します。
   
   
7. 以下、プレッサーフットがクローンするURLを聞いてくるので、対象サイトのログインフォームをクローンします。
   例）http://192.168.56.102/peruggia/index. php?action=login
   
   
8. これでクローン作成が始まり、その後SETがApacheサーバーを開くかどうか尋ねられるので、今回はYesを選択してyと入力してEnterを押してみましょう。
   
   
   
   
   
9. もう一度エンターキーを押します。
   
   
10. http://192.168.56.1/ にアクセスして、ページをテストしてみましょう。
    
    
    
    
    これで、元のログインページの正確なコピーができました。
    
    
11. ここで、いくつかのユーザー名とパスワードを入力し、「Login」をクリックします。ここでは、「harvester/test」を試してみます。
    
    
12. 元のログインページにリダイレクトされることが確認できます。 ここで、ターミナルに移動し、コレクターファイルが保存されているディレクトリ（Kaliではデフォルトで/var/www/ htmlになります）を入力します。
    
    

    cd /var/www/html
    

    
    
    
13. harvester_{日時}.txtというファイルがあるはずです。
    
    
14. その内容を表示すると、次のようにすべての情報が取り込まれていることがわかります。
    
    

    cat harvester_2015-11-22 23:16:24.182192.txt
    

    
    
    
    
    
    
    
    

これで終わりです。あとはターゲットに接続を送り、偽のログインページにアクセスさせて、パスワードを収集するだけです。

動作原理

SETはサイトのクローンを作成する際に3つのファイルを作成します。まずindex.html。これは元のページのコピーで、ログイン・フォームが含まれています。 今回のKaliで、/var/www/htmlにSETで作成したindex.htmlのコードを見てみると、以下のようなコードになっていることがわかります。

ここでは、ユーザー名とパスワードが192.168.56.1（Kaliホスト）に送られたことが、SETが作成した2番目のファイルであるpost.phpで確認できます。 このファイルが行うのは、POSTリクエストの内容を読み取り、harvester_{date and time}.txtファイルに書き込むだけです。SETが作成する3つ目のファイルには、ユーザーから送信された情報が保存されます。 データをファイルに書き込んだ後、<meta>タグは元のログインページにリダイレクトするため、ユーザーは間違ったユーザー名やパスワードを入力したと思ってしまいます。

【参考（YouTube動画）】

【2022年】運気アップ期待のラッキースポットやカラー（転載）

【2022年】ドクターコパが開運アドバイス！運気アップ期待のラッキースポットやカラーを教えます

2022年もスタートし、気分も新たに過ごしたいですね。そこで今回は、風水で有名なDr.コパさんに、2022年の開運アドバイスを聞きました。自分の生まれた年から割り出される、本命星別の開運スポットやラッキーカラー、おすすめの旅行方位などを紹介します。

みんなに共通の2022年の開運カラーは、山吹色、ワインレッド、クリーム色、ゴールドだそう。参考にしてみてくださいね。

まずは本命星をチェック！

下の表をチェックして、自分の生まれた年から本命星を調べてください。

風水では1年を立春～節分と考えるため、誕生日が節分前(1月1日～2月3日）なら、前年の生まれ年と考えます。1980年2月1日生まれなら、1979年生まれと考え、本命星は三碧木星になります。

■一白水星

1945、1954、1963、1972、1981、1990、1999（年）

■二黒土星

1944、1953、1962、1971、1980、1989、1998（年）

■三碧木星

1943、1952、1961、1970、1979、1988、1997、2006（年）

■四緑木星

1942、1951、1960、1969、1978、1987、1996、2005（年）

■五黄土星

1941、1950、1959、1968、1977、1986、1995、2004（年）

■六白金星

1940、1949、1958、1967、1976、1985、1994、2003（年）

■七赤金星

1948、1957、1966、1975、1984、1993、2002（年）

■八白土星

1947、1956、1965、1974、1983、1992、2001（年）

■九紫火星

1946、1955、1964、1973、1982、1991、2000（年）

また、おすすめの旅行方位のアドバイスがありますが、その方角は今みなさんが住んでいる場所を起点に考えてください。

一白水星

コロナ禍でここ2年は強制的に自分の殻に閉じこもっていたあなたも、今年は心を開いてお付き合いできる人と巡り合えそう。思い切って新しい自分に変身！これまでとはちょっと違った新しい自分を表現してください。貯蓄運もあり、気づいたらこんなに貯まっていた、なんてうれしいことがありそう。

開運カラー

ピンク、オレンジ

おすすめスポット

吉方位の温泉、水辺、銀行、橋、水族館

2022年旅行におすすめの方位と期待できる運気

不動産運、一発逆転運・・・東北

健康運、仕事運・・・東

恋愛運、交際運・・・東南

金運・・・西

仕事運、勝負運・・・北西

二黒土星

実りと成功に向かう途上の年。100%の結果を望むのではなく、70％、80%できていればそれでよしと思いましょう。何事も経験と思って、どんなことにも取り組むこと、「コツコツ」やることが大事。不動産運が意外とよく、物件見学が吉アクション。宝くじや懸賞、競馬などギャンブル運にも恵まれ、臨時収入が得られる可能性あり。

開運カラー

グリーン、赤

おすすめスポット

公園、住宅展示場、家具屋、農園、牧場、ジョギングコース

2022年旅行におすすめの方位と期待できる運気

学業運、貯蓄運・・・北

健康運、仕事運・・・東

恋愛運、交際運・・・東南

才能運、外見を磨く…南

金運・・・西

仕事運、勝負運・・・北西

三碧木星

今までの努力が実る年。何事もスピーディーに、をモットーにしてください。苦手なことは周りにいるそれが得意な人にまかせ、あなたが得意なこと、成功が近いこと、楽しいと思えること、刺激的なこと、興味があることにお金や時間を使い、自分や暮らしを新しくするようにしましょう。新しいもの、最新の型が吉。

開運カラー

赤、青

おすすめスポット

劇場、映画館、スポーツ施設、日の出スポット、テレビ局

2022年旅行におすすめの方位と期待できる運気

学業運、貯蓄運・・・北

不動産運、健康運・・・東北

恋愛運、交際運・・・東南

才能運、外見を磨く・・・南

仕事運、勝負運・・・北西

四緑木星

人の縁にもお金の円にも恵まれる年。人が幸運をもたらしてくれます。新しい人脈は新しい幸せを運んできます。人脈が広がるよう様々な場に足を運んだり、疎遠になっている友人や知人に連絡をとってみるといいでしょう。旅先で縁の広がりが期待できます。考えすぎずに行きたいところに行き、買いたいものを買ってみましょう。

開運カラー

ピンク、オレンジ

おすすめスポット

並木道、川、駅、花畑、花の名所

2022年旅行におすすめの方位と期待できる運気

学業運、貯蓄運・・・北

不動産運、健康運・・・東北

健康運、仕事運・・・東

才能、外見を磨く・・・南

金運・・・西

五黄土星

考えてきたこと、取り組んできたことに納得の答えが出ます。良い結果は周りに感謝、期待外れなら人のせいにしない、この考え方が必要です。周囲の顔色を覗い過ぎると本来の行動力や発展意欲がなりを潜めて仕事もプライベートもうまくいきません。思うように進まなくても結果は後からついてくると考え思い切っていきましょう。

開運カラー

ラベンダー、黄色

おすすめスポット

吉方位の温泉、神社仏閣、滝、ダム、文化史跡

2022年旅行におすすめの方位と期待できる運気

学業運、貯蓄運・・・北

不動産運、健康運・・・東北

健康運、仕事運・・・東

恋愛運、交際運・・・東南

才能、外見を磨く・・・南

金運・・・西

仕事運、勝負運・・・北西

六白金星

神仏の加護に恵まれ、大きな夢が叶うパワーがある年。それだけに責任も負担もこれまで以上です。風水を味方に明るく元気に行動すれば苦労は自然と吹き飛ぶでしょう。気が大きくなってミスをするおそれもあります。真摯な気持ちと「ありがとうございます」の感謝の気持ちを忘れないように。

開運カラー

グリーン、ベージュ

おすすめスポット

神社仏閣、和風庭園、和風建物、和の街並み、城、競馬場

2022年旅行におすすめの方位と期待できる運気

学業運、貯蓄運・・・北

不動産運、健康運・・・東北

健康運、仕事運・・・東

才能、外見を磨く・・・南

金運・・・西

七赤金星

金運や人間関係に恵まれる年。生活レベルが向上し、楽しく豊かな日々を過ごすことができます。ただし愛情が片寄るとちょっとやっかいなことに。恵まれた金運で、運の良い買い物をして気を循環させないと人間関係のトラブルや嫉妬により足を引っ張られることがありそう。嫉妬を受けるとなんとなく身体が重い、やる気が出ないことあり。

開運カラー

黄色、ピンク

おすすめスポット

ショッピングセンター、夕日スポット、おいしい店、神社仏閣

2022年旅行におすすめの方位と期待できる運気

学業運、貯蓄運・・・北

不動産運、健康運・・・東北

恋愛運、交際運・・・東南

才能運、外見を磨く・・・南

仕事運、勝負運・・・北西

八白土星

努力が形になる充実の寅年。変化の運が強く働き、転勤や転職、部署移動、転居など環境の変化がありそうです。身内とのトラブルや財産問題が浮き上がる可能性がありますが、目を背けずに将来を見据えて相続や財産のことを考えましょう。変化の今年をのりきるために健康が大事。身体のメンテナンスは定期的に行って。

開運カラー

白、黄色

おすすめスポット

山、高原、展望スポット、タワー、大きな建物

2022年旅行におすすめの方位と期待できる運気

学業運、貯蓄運・・・北

健康運、仕事運・・・東

恋愛運、交際運・・・東南

才能運、外見を磨く…南

金運・・・西

仕事運、勝負運・・・北西

九紫火星

才能が形になる年。打ち込めるものが見つかりそう。周りから注目されたり、収入が増えたり、出世したり、賞を獲得したり、仕事の人間関係が広がったりして華やかな年になります。投資に縁があります。お金を貯めるよりは、自分の未来に投資しましょう。趣味、特技に時間やお金をつかうことです。

開運カラー

グリーン、オレンジ

おすすめスポット

海、森林、人気スポット、美術館、イルミネーションスポット

2022年旅行におすすめの方位と期待できる運気

不動産運、一発逆転運・・・東北

健康運、仕事運・・・東

恋愛運、交際運・・・東南

金運・・・西

仕事運、勝負運・・・北西

2022年版今年やるべき100のリスト

皆さんは、新年の目標を毎年定めているだろうか？

私は数年前から100のリストを作るようにしている。

私が勝手に投資の師匠として尊敬している内藤忍さんの受け売りなのだが、元ネタはコチラ（アーカイブ）を参照いただきたい。

1年の計は元旦にありというが、年を追うごとに1年が過ぎるのが早くなっている感じがして、正月に計画を立てないと、あっという間に1年が終わってしまう。

1年365日と聞くと多いように感じるが、週で見れば約52週、月で見れば12ヵ月しかない。

毎月やる系の目標だと12回しかできないのである。

週で見ると52あるが、実際は年末年始、ゴールデンウイーク、夏季休暇等で毎週やる系の目標を立てても52回フルでの実施はほぼ無理で、四捨五入して50になる程度の四十数回が目標値となる。

しかも1週間は7日しかないため、毎週やる系の目標はできても最大7つとなる。

こうして考えると、1年は短い。というよりも、1年でできることは少ない。

それ故に計画を立てて行うことの重要さを思い知らされる。

ちなみに、100のリストは達成率3割程度でも全然OK。「3割なので30点」という学校方式ではなく、「打率3割！すげー」みたいな野球の打者の感覚で考える。

ちなみに、内藤さんの100のリストは、

• 「The Economist」を毎号必ず1コラム読む
• ブログを毎日更新する
• 毎朝トレーニングを欠かさない

といった日々継続すべきリストと、

• 書籍を年間2冊出版する
• 大学時代の友人Kに会う
• 個人投資家が集まるスペースをオープンさせる

といった1年のうちに期限を決めてやるべきことに、分かれるらしい。

一昨年、去年と武漢ウイルスの影響で100のリストがおざなりになってしまったが、自分は習慣化しないと成長していけないタイプの人間なので、週次のトレーニングを4つくらい組み込んで、着実な成長を目指していきたい。