週刊OSINT 2022-23号 / Week in OSINT #2022-23

今号は、フィッシングキット、Telegram、ビデオについて調査し、CCTVシステムとCAPTCHAについて見ていきます。

Investigate Phishing Kits
CCTV Locations
Telegram Investigations
Investigate and Find Videos
Dark Web CAPTCHAs

メディア: Investigate Phishing Kits

5月にこのビデオを見逃したのですが、このテーマは私の好みにぴったりです。フィッシングキットをオープンソースで調査する。DarkTowerのAlex SlotnickとHaley Copelandは、URLScanやurlqueryなどのサイトを使って、フィッシングのドメインを見つけたり、ドメインのDNSレコードに含まれる情報を調査したりする方法を紹介しています。オープンソースの情報を使ってサイバー犯罪者を追跡する方法についての素晴らしいビデオチュートリアルです。

サイト: CCTV Locations

TOCP Discordで、'BroquePicker'によるCCTVカメラに関するメッセージを見ました。海賊党のウェブサイトでは、約160,000台のプライベート・カメラ（時にはオープン・フィード付き）と、OpenStreetMapでマッピングされた他のCCTVカメラが地図上にプロットされている。このサイトでは、調査対象地域内のカメラを簡単に検索することができます。面白いのは、一部のカメラにmapillary keyがあることです。マピラリーでカメラを見るには、そのキーを持って以下のURLにアクセスすると、その場所がマピラリーで表示されます。

https://mapillary.com/map/im/{key}

これは、Google StreetViewがあまりカバーしていない地域、例えばドイツで特に便利です。

メディア: Telegram Investigations

5月末にSkopeNowはTelegram調査に関するウェビナーを開催し、スティーブ・アダムスがTelegramの情報を抽出する様々なツールやテクニックについて話しました。Telegramを初めて使う人にとって、ユーザー情報、チャット、グループやチャンネルを見つけるための検索ツールなどを抽出するための便利なテクニックを紹介するものです。

チュートリアル: Investigate and Find Videos

Ben Heublは、オンラインでビデオ素材を検索する方法について、Mediumに投稿しました。彼は、ある出来事について、より多くの映像や文脈を見つけるのに役立つさまざまなテクニックについて述べています。逆画像検索やGoogle Lensから、動画の詳細情報を表示するためのChrome拡張機能の使用まで。

記事: Dark Web CAPTCHAs

Madame HTTPSが最近立ち上げたウェブサイトで2つ目のブログ記事を書き、Torサイトで見られるさまざまなCAPTCHAの旅を紹介しています。さまざまな「ちゃんねる」から「Dread」、マーケットプレイスからフォーラムまで、すべて異なるタイプが使われており、それぞれの違いを見るのは興味深いものです。これからも良い仕事を続けて、ブログの投稿を続けてください。

株式会社大塚商会　クリーンテックス社が保有する弊社のお客様情報流出の可能性に関するお知らせとお詫び　2022年7月20日

このたび、弊社が運営するオフィスサプライ通信販売事業「たのめーる」の仕入先である丸美工藝株式会社（本社：東京都千代田区、代表取締役社長：大辻誠一郎　以下丸美工藝）の報告で、メーカー（クリーンテックス・ジャパン株式会社（本社：神戸市西区、代表取締役社長：大山済世、以下クリーンテックス））において、悪意のある第三者からの不正アクセスがあったことが確認されました。

クリーンテックスの保有する情報の一部が外部に流出した可能性があり、その中には「たのめーる」にてご注文されたお客様情報も含まれているとの報告がありましたのでお知らせいたします。

ご関係のお客様には多大なご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。

1．経緯

2022年7月8日（金）
クリーンテックスにて不正アクセスを検知した。
被害の拡大を防ぐため関連するサーバへのすべてのアクセスを遮断し、その後、復旧作業と併せ安全性の確認を実施した。以降、クリーンテックスにて不正アクセスの流入経路や流出ファイルの特定等の調査を実施した。
2022年7月15日（金）
丸美工藝より、クリーンテックスが不正アクセスを受けた事実、弊社のお客様情報が流出した可能性があること等の報告を受領した。

2．流出した可能性があるお客様情報

対象者	2017年以降に「たのめーる」において、クリーンテックスの商品（玄関マット）をご注文されたお客様
件数	約950件（詳細な件数は現在調査中）
情報	お客様の氏名、住所、電話番号、会社名

3．今後の対応について

個人情報が流出した可能性があるお客様には、詳細が判明次第、個別にご連絡させていただきます。

関係各所への報告は、2022年7月20日(水)に個人情報保護委員会およびプライバシーマーク審査機関には、報告をいたしました。なお、2022年7月11日(月)、クリーンテックスから所轄警察署への届け出は完了しております。

弊社では、個人情報取り扱い業務における管理体制の厳重化を行うことに加え、再委託先も含めた個人情報委託先の安全管理措置への調査方法も再徹底し、再発防止に努めてまいります。

大塚商会プレスリリース（アーカイブ）

クリーンテックスプレスリリース（アーカイブ）

Aviosで予約できる航空会社 / Which 30 airlines can I book with Avios points?

今日は、Aviosのポイントで予約できる航空会社を見てみたいと思います。

ブリティッシュ・エアウェイズは有名ですが、Aviosを一部または全部のフライトに使用できる航空会社は、実は30社もあります。

カタール航空がAviosを採用したため、ブリティッシュ・エアウェイズ、イベリア航空、エアリンガス以外のカタール航空提携航空会社でもアビオスを利用することが可能となりました。

以下にAviosの交換が可能なすべての航空会社をリストアップしてみました。

(BA)と表示されているものは、ba.comで予約することができます。つまり、ブリティッシュ・エアウェイズの特典航空券を予約するのと同じ手順となります。

(AC)と表示されている航空会社は、avios.comで予約することができます。エアリンガスのウェブサイトからavios.comのアカウントを開設し、ba.comまたはavios.comの「Combine My Avios」でポイントを移行することが可能です。

(IB)と表示されている航空会社は、イベリア・プラス・アカウントから予約可能であることを意味します。イベリア・プラス・アカウントに移行するには、イベリア・アカウント開設後90日経過＆1Avios以上を保有している必要があります。Aviosは購入することが可能です。

(QR)と表示されている航空会社は、カタール・プリビレッジクラブのアカウントから予約可能であることを意味します。

Aviosで予約できる航空会社は？

このリストの括弧内は、その航空会社のAviosに交換できるプログラムを追加しています。BAはブリティッシュ・エアウェイズ・エグゼクティブ・クラブ、IBはイベリア・プラス、ACはavios.com / AerClub / Vueling Club、QRはカタール・プリビレッジ・クラブを表しています。

一部の提携航空会社では、Aviancaなど、関連プログラムのサービスセンターを通じて電話でしか予約できない場合があります。特定の航空会社が運航するすべての路線を予約できるわけではありません。

エアリンガス (AC, BA)

エア・ノストラム / イベリア・レヒオナル (IB, BA)

アラスカ航空 (BA, IB, QR)

アメリカン航空 (BA, IB, QR)

アビアンカ航空 (IB)

バンコク・エアウェイズ (QR)

ビンター・カナリア (IB)

ブリティッシュ・エアウェイズ (AC, BA, IB, QR)

キャセイパシフィック航空 (BA, IB, QR)

フィンエアー (BA, IB, QR)

イベリア航空 (AC, BA, IB, QR)

イベリア・エクスプレス (AC, BA, IB)

インテルジェット (IB, only valid when linked to an Iberia flight to/from Mexico)

日本航空 (BA, IB, QR)

LATAM航空 (IB, QR)

レベル (IB)

マレーシア航空 (BA, IB, QR)

ミドルイースト航空 (QR)

オマーン航空 (QR, Doha to Muscat route only)

カンタス航空 (BA, IB, QR)

カンタスリンク (BA – telephone only, read here)

カタール航空 (BA, IB, QR)

ロイヤル・エア・モロッコ (BA, IB, QR)

ロイヤル・ヨルダン航空 (BA, IB, QR)

ルワンダ航空 (QR)

S7航空 (BA, IB, QR but currently suspended)

スリランカ航空 (BA, IB, QR)

サンエアスカンジナビア (BA)

ヴァージン・オーストラリア (QR from July 2022)

ブエリング航空 (AC, IB)

オマーン航空は最近oneworldアライアンスに加盟する計画を発表しましたので、2024年からAviosの交換が可能になります。

出典：Which 30 airlines can I book with Avios points?

南房総市　市内小中学校の校務ネットワークに対する不正アクセスについて　2022年7月19日

南房総市教育委員会は、令和4年7月17日に小中学校が使用する校務ネットワークに対して悪意のある第三者による不正アクセスを確認しました。この攻撃によりサーバーに障害が発生し、現在使用を停止しています。不正アクセスによる児童・生徒の情報が流出したかについては、警察・委託事業者と確認を行っています。

経緯

令和4年7月17日（日曜日）午前3時30分に、市の委託事業者がサーバーの疎通ができないことを確認しました。市と委託事業者が調査を行ったところ、ランサムウェア攻撃を受けたことが判明しました。現在はネットワークを遮断し、影響範囲を調査するとともに、警察に相談し、侵入経路等を調査しております。

情報流出について

該当のサーバーは、教職員の人事に関すること、教育活動の記録をはじめ、学校業務全般で使用しており、児童・生徒の個人情報（住所・氏名・保護者連絡先・成績・出席情報など）も含まれています。現時点において具体的な情報流出の事実は確認されておりませんが、引き続き調査を継続します。

今後の対応について

現在調査中の侵入経路等が判明しましたら、必要なシステムの見直しを進めて参ります。また、支障をきたしている学校の業務の遂行に向け応急的な対応を行っています。

プレスリリース（アーカイブ）

一般社団法人シェアリングエコノミー協会　個人情報漏えいの可能性に関するお知らせとお詫び　2022年7月20日

当協会が主催する「四国支部及び四国わかちあいネットワーク設立記念イベント『With Share 四国』」（2022年7月22日開催予定）（以下「本イベント」）の申込者の個人情報が第三者により閲覧可能な状態となっていたことが判明しました。

現時点において判明している事実経緯は以下のとおりであり、個人情報が漏えいした可能性がある申込者の方に対しては、順次個別にメールにて、ご連絡させていただきます。

関係者の方々に多大なるご迷惑及びご心配をお掛けしましたことを深くお詫び申し上げます。

なお、今後の進捗がありましたら、追って当協会HPでお知らせさせていただきます。

概要

本イベントの参加者をGoogleフォーム（以下「申込フォーム」）により募集しておりましたが、当協会の設定ミスにより、第三者が他人の申込情報を閲覧できる状態になっておりました。

漏えい状況

・件数

106名

・期間

2022年7月1日～同月20日11時53分ごろ

・漏えいした可能性がある情報

申込フォームへご入力いただいていた

①氏名

②電話番号

③メールアドレス

④企業名及び部署

なお、現時点において、漏えいによる被害の発生は確認できておりません。

漏えいの原因

当協会の設定ミスにより、第三者が他人の申込情報を閲覧できる状態になっておりました。

自身の申込後画面に表示される「前回の回答の表示」というリンクをクリックすると、他人の申込情報が閲覧できる状態となっておりました。

事実経緯・対応状況

7月1日

該当の申込フォームをHPに掲載

7月20日

10:24：申込者の一人から他人の申込情報を閲覧できるようになっているとのメールあり（この時点までで106名の申込みあり）

11:53ごろ：メールを確認し、直ちに第三者が他人の申込情報を閲覧できないよう設定を変更

16:30：本お知らせをHPにて公表

今後の対応

個人情報が漏えいした可能性のある申込者106名の方にメールにてご連絡させていただきます。
シェアリングエコノミーを普及推進する団体として、今回の事態を重く受け止め、7月20日、個人情報保護委員会へ報告いたしました。
今後同様の事態が生じないよう、利用するフォームの精査、フォーム公開時のルール・チェック体制の見直しなど、再発防止策を検討・実施します。

新たな状況が判明しましたら、改めて当協会HPにてお知らせさせていただきます。

この度の事態につき、外部の方からご指摘いただくまで長期間認識できなかったことを重く受け止め、今後の当協会の運営についても検討・改善してまいります。

改めまして、本件について、多大なるご迷惑とご心配をおかけする事態となりましたことを、心より深くお詫び申し上げます。

プレスリリース（アーカイブ）

宮城県登米市　消防職員による庁内ネットワークへの不正アクセス及び人事異動情報の漏えいについて　2022年7月15日

本市職員に対し、地方公務員法第 29 条に基づく懲戒処分等を行ったので公表します。

１処分等の内容

（１）処分年月日令和４年７月 15 日

（２）処分内容及び職員の役職階級・年齢・性別

・懲戒処分として停職１月、分限処分として降任係長級（40 歳、男）

・懲戒処分として減給（10 分の１）６月係長級（38 歳、男）

（３）非違行為の概要

本件については、令和２年度から令和３年度にかけて、上司のグループウェアに不正アクセスするとともに、受信メールに添付された人事異動情報を業務用パソコンに保存、閲覧していたものであります。また、そのうち１人については、人事異動情報をパソコンの画面上で他の職員に見せるなどし、人事異動情報を漏えいさせる事態を惹き起こしたものであります。

（４）管理監督責任

上記の懲戒処分に伴い、部下職員に対する管理監督責任として、管理監督職員８人に対し、下記の処分を行いました。

・訓告次長級（54 歳、男）、課長級（49 歳、男）、係長級（44 歳、男）
・文書厳重注意部長級（60 歳、男）、課長補佐級（47 歳、男）
・文書注意次長級（55 歳、男）、課長補佐級（46 歳、男）、（45 歳、男）

プレスリリース（アーカイブ）

農業・食品産業技術総合研究機構　(お知らせ) Webサイト改ざんに関するご報告とお詫び　2022年7月15日

今般、農研機構が運営する「イネ QTL 遺伝子情報データベース」Webサイトが改ざんされ、不適切なWebページが表示されていたことが判明いたしました。深くお詫びいたしますとともに、以下のとおり、本件の概要についてご報告いたします。

令和4年7月14日(木曜日)、同Webサイトにおいて、本来とは異なるWebページが表示されることを確認いたしました。このため、同日 17 時49分に同Webサイトへのアクセスができないよう外部から遮断し、調査を開始いたしました。

調査の結果、サーバに不正アクセスされ、Webサイトが改ざんされていたことが判明いたしました。

同Webサイトでの個人情報等の取扱いや流出はなく、現在のところ不適切なWebページが表示されたことによる被害等について、利用された方々からのご連絡もいただいておりません。

現在、当機構で把握している情報は以下のとおりとなっております。

改ざん期間:令和4年7月14日(木曜日) 13時7分～17時49分

この期間にアクセスされた可能性のある利用者様におかれましては、誠にお手数ですが、お手持ちのセキュリティソフトを最新の状態にし、ウイルスチェック・駆除の実施をお願いいたします。

今後、このような問題が発生しないよう、より一層の注意を払い、農研機構の各サイトの管理を実施してまいります。

この件につきましては、ご不明な点がございましたら、下記までご連絡くださいますようお願い申し上げます。

プレスリリース（アーカイブ）

OSINT調査のためのブラウザ拡張機能 / Browser Extensions for OSINT Investigation

ブラウザアドオンは、OSINT調査者が作業を簡略化し、自動化する上で大きな助けとなることがあります。インターネット調査の際に最も頻繁に使用するブラウザアドオンをいくつかリストアップしてみました。

これらのブラウザ拡張機能の中には、セキュリティやプライバシーに焦点を当てたものもあれば、データや情報の収集を支援するためのツールもあります。調査員は、データが拡張機能の設計者と共有されている可能性を常に考慮し、これをリスク評価する必要があります。

データおよびリンクのキャプチャ

調査員は、ウェブページからデータを一括してキャプチャする必要があることがよくあります。テキストの段落をコピーして貼り付けることはできますが、ページのすべてのコンテンツやウェブページのリンクだけを抽出する場合は、ブラウザの拡張機能を使用すると、プロセスを簡素化できます。

インスタントデータスクレイパー

Instant Data Scraper は、ウェブページからデータを抽出し、Excel または CSV ファイルとしてエクスポートするブラウザ拡張機能です。このツールは、あらゆるウェブページのほぼすべてのコンテンツを抽出し、自動的にテーブルを作成したり、データを構造化したりします。Instant Data Scraper は Chrome にのみインストール可能です。

リンククリッパー

Link Klipperは、ウェブページ上のすべてのリンクを抽出し、ファイルにエクスポートすることができるクロームの拡張機能です。Link KlipperはChromeにのみインストール可能です。

Link Gopher

Link Gopherは、ウェブページからすべてのリンクを抽出し、並べ替え、重複を削除し、調査員がコピーして他のシステムに貼り付けられるように新しいタブに表示するクローム拡張機能です。Link Gopherは、ChromeとFirefoxの両方にインストールすることができます。

ウェブページの完全なキャプチャ

調査員は、データを取得した当日に、その内容を証明するために、ウェブページをキャプチャする必要があります。調査員は、ウェブページを画像、PDF、HTMLファイルとしてキャプチャすることができますが、理想的にはすべてをキャプチャすることです。コンテンツをキャプチャすることで、法廷での情報提供を確実にし、後日削除される可能性のある情報をキャプチャすることができます。

GoFullPage

GoFullPageは、PNGやPDFなどのフォーマットでフルスクリーンショットをキャプチャするChrome拡張機能です。画像やPDFとしてページをキャプチャすると、そのページがどのように表示されたかを正確に示すことができますが、HTMLのダウンロードは、どのブラウザで開かれたかによって外観が若干変化することがあります。

SingleFile

SingleFileは、完全なページ（CSS、画像、フォント、フレームなどを含む）を単一のHTMLファイルとして保存するのに役立つ拡張機能です。HTMLファイルは、ハイパーテキストマークアップ言語ファイルとしても知られ、インターネット上の標準的なウェブページファイルタイプで、ページ上のすべてのソースコード、およびビデオなどのすべての埋め込みファイルをそのままキャプチャします。これは、ウェブページがキャプチャされた正確な時刻に意図された形で表示されるため、法廷でファイルを提示する際に貴重なものとなっています。ChromeとFirefoxの両ブラウザに対応した拡張機能が存在します。

Nimbus

Nimbusは、Webページの一部または全体のスクリーンショットをキャプチャするためのChromeツールです。

Quick Web Caches

Wayback Machine

Wayback Machineは、あるウェブページが過去にInternet Archiveにアーカイブされていたかどうかを、調査官に簡単かつ迅速に確認させるための拡張機能です。ウェブページが複数回アーカイブされている場合、調査員は異なるバージョンを切り替えることができます。この拡張機能は、ChromeとFirefoxの両方のブラウザーに対応しています。

Ad and Script Blocking

uBlock Origin

uBlock Originは、望ましくないスクリプトの実行をブロックする拡張機能です。uBlock Originはインストール後すぐに機能しますが、いくつかの変更で細かい改良を加えることができます。これを行うには、設定をクリックし、「私は上級ユーザーです」を選択します。サードパーティーフィルタータブを選択し、広告、プライバシー、マルウェアドメイン、迷惑行為内の全てのオプションを選択します。これにより、数が多いページではほとんどの広告が表示されなくなり、ウェブページの読み込みが速くなります。今すぐ更新]をクリックすると、アドオンが更新され、設定が適用されます。拡張機能は、ChromeとFirefoxの両方のブラウザーに存在します。

Secure Connection

HTTPS Everywhere

HTTPS Everywhereは、アクセスしたWebサイトとWebトラフィックを暗号化し、より安全にブラウジングできるFirefoxおよびChromeの拡張機能です。HTTPS Everywhereは、何千ものサイトへのリクエストを、安全でない「HTTP」から安全な「HTTPS」に自動的に書き換えます。

メディアダウンロード

捜査官は、捜査中に発見したメディアをダウンロードして、証拠を撮影する必要がある場合があります。

Video Download Helper

Video Download Helperは、調査員が多くのサイトから自分のデバイスに直接ビデオをダウンロードできるようにするChromeおよびFirefoxの拡張機能です。ダウンロード可能な動画が再生されると、拡張機能のボタンがグレーアウトからカラーに変わり、ページ上にダウンロード可能な動画があることが強調されます。

CocoCut

CocoCutは、M3u8ファイルをMP4ファイルに変換し、ダウンロードできるようにするChromeおよびFirefoxの拡張機能です。Gettrなど、MP4ファイルのダウンロードを許可していないサイトがある場合に便利です。MP4ファイルとしてビデオをダウンロードするには、単にドロップダウンにダウンロード可能なビデオのリストを表示する拡張子をクリックします。

Digital Marketplace Investigation

AMZScout Stock Stats

AMZScout Stock Statsは、特定の商品の在庫数を表示するChrome拡張機能です。偽造品や盗品を調査する際に、この情報を手元に置いておけば、強力な情報となります。モンタナ州の町で15個の商品が盗まれ、モンタナ州の販売者が同じ商品を15個販売していることが確認されれば、それは調査の有力な手がかりとなります。

DS Amazon Quick View

DS Amazon Quick View は Chrome と Firefox のブラウザ拡張機能で、ブラウジング中に Amazon の販売ランクと出品者数を表示します。商品の売れ行きや、複数の出品者がいることを知ることは、偽造品や盗品、他の出品者の下にいる「不法占拠」をしている可能性のある代替出品者を素早く特定できるため、貴重な情報となり得ます。

Camelizer

Camelizerは、Amazonで販売されているアイテムの価格履歴チャートを提供するChromeおよびFirefoxブラウザの拡張機能です。Camelizerは、商品の価格水準を監視している捜査官に、価格水準が高い時期に盗難が多かったことや、第三者の価格が市場水準を下回っていたことを関連付けるための洞察を提供することができます。

Reverse Image Searching

画像はOSINT調査において豊富な価値を提供し、対象者の外見、対象者が行ったことのある場所、使用した車両などを示すことができます。捜査官は、捜査中に発見した画像と同じ画像や、別の画像から類似した画像を探し出す必要があることがよくあります。

検索エンジンを使えば、コンテンツベース画像検索（CBIR）のクエリ技術を活用した逆画像検索技術により、ウェブ上から視覚的に類似した写真を素早く発見することができます。端末の写真をアップロードするか、画像のURLを入力すると、検索エンジンが他のWebサイトで使われている画像から、全く同じ画像やサイズが異なる画像、似ているものや人物を含む関連画像を探し出し、表示することができます。

逆画像検索は、彫像、建物、場所、人物、ロゴを含む画像に関連する画像を特定する調査の一部として使用することができます。検索エンジンを使用すると、検索エンジンが識別できる背景の像や建物を認識することで、画像が撮影された場所を特定できる場合があります。同様に、サーチエンジンは、被写体やロゴを特定するサイトにおいて、他の画像を見つけることができるかもしれません。

RevEye

RevEyeは、画像逆引き検索のためのChromeおよびFirefoxの拡張機能です。ウェブページ上の画像を右クリックし、全サイト検索、Google、Bing、Yandex、TinEyeから選択することで、逆画像検索を行うことができます。

Geolocation Investigation

MapSwitcher

MapSwitcherは、調査員がある場所を調査する際に、異なる地図サービスを素早く切り替えることができるChromeおよびFirefoxの拡張機能です。MapSwitcherを使用することで、調査員は座標と方向を変換し、別の地図上の正確な場所にジャンプすることができます。

Media Verification

InVID WeVerify

InVID Verification Plugin は、Metadata 抽出ツールと同様のデータを提供する Chrome および Firefox 拡張機能です。InVIDプラグインは、ジャーナリストがソーシャルネットワーク上のコンテンツを検証し、誤報を特定することを支援するために特別に構築されています。

このプラグインを使用すると、調査官やジャーナリストは、Facebook や YouTube の動画から文脈情報を取得し、検索エンジンで逆画像検索を実行し、動画をキーフレームに分割することができます。