雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
記者会見が新たな収入源に? 小池都知事のYouTube会見にスパチャが相次ぎ話題に(転載)~マスコミの加工された偏向報道見るよりもはるかに健全だな。今後は東京都が直接LIVE配信せよ!!~
2020年以降におけるセキュリティとリスクマネジメントの9つのトップトレンド(転載)
セキュリティ技術者不足、クラウドコンピューティングへの迅速な移行、規制コンプライアンス要件、脅威のとどまるところを知らない進化――これらは、以前からセキュリティ上の大きな課題となっている。
だが、2020年においては、新型コロナウイルス感染症の大流行(パンデミック)への対応も、ほとんどのセキュリティチームにとって重大な課題となっている。
「パンデミックとそれがビジネス界にもたらした変化は、ほとんどの企業でビジネスプロセスのデジタル化やエンドポイントモビリティー、クラウドコンピューティングの導入拡大を加速し、レガシーな考え方や技術を明らかにした」。Gartnerのアナリストでバイスプレジデントのピーター・ファーストブルック(Peter Firstbrook)氏は、同社が2020年9月に開催したバーチャルカンファレンス「Gartner Security and Risk Management Summit 2020」でそう語った。
パンデミックに伴い、セキュリティチームは、LAN接続を必要としないクラウドベースのセキュリティツールやオペレーションツールの価値に再注目した。そして、リモートアクセスポリシーおよびツールの見直しや、クラウドデータセンターとSaaSアプリケーションへの移行および対面のやりとりを最小限に抑えるための新しいデジタル化の取り組みを進めている。
Gartnerは、先進的な組織の対応を調査し、広範かつ長期的な影響を及ぼすと予測される、2020年の9つのトップトレンドを特定した。これらのトップトレンドは、セキュリティエコシステムの戦略的なシフトを浮き彫りにしている。これらのシフトはまだ広く認識されていないが、多数の業界に大きな影響を与え、ディスラプション(創造的破壊)を起こす可能性が高い。
トレンド1:検知の精度とセキュリティの生産性を改善するためにXDRが登場している
さまざまなセキュリティ製品から自動的にデータを収集し、相関させ、脅威検知の改善とインシデント対応につなげる「拡張型検知/対応」(XDR)ソリューションが登場している。このソリューションでは、例えば、電子メールやエンドポイント、ネットワークに関するアラートを組み合わせて分析し、1つのインシデントにまとめることができる。XDRソリューションの主な目的は、検知精度を高め、セキュリティオペレーションの効率と生産性を改善させることにある。
「データの一元化と正規化も、多くのコンポーネントからの弱いシグナルを組み合わせて、他の方法では無視されてしまうかもしれないイベントを検知することで、検知の改善に役立つ」(ファーストブルック氏)
トレンド2:反復作業を解消するセキュリティプロセスオートメーションが登場している
スキルの高いセキュリティ実務者が不足する一方、セキュリティツールで自動化機能が提供されるようになったことで、セキュリティプロセスの自動化が進んできた。この技術は、コンピュータ中心型セキュリティオペレーションに関する作業を、定義済みのルールやテンプレートに基づいて自動化する。
自動化されたセキュリティ作業ははるかに高速に、スケーラブルに実行でき、エラーの発生が少なくなる。だが、自動化を実現し、維持していくと、リターンは減っていく。セキュリティとリスクマネジメントのリーダーは、多くの時間がかかる反復作業の代替に役立つ自動化プロジェクトに投資し、担当者がより重要なセキュリティ作業に集中できる時間を増やさなければならない。
トレンド3:人工知能(AI)の利用拡大に伴い、デジタルビジネスの保護に関する新たなセキュリティ上の職務が発生
AI、特に機械学習(ML)は、セキュリティやデジタルビジネスの幅広いユースケースで、人間の意思決定の自動化や拡張に利用されるようになっている。だが、これらの技術に関連する3つの重要課題に対処するには、セキュリティノウハウが必要になる。これらの課題は、AIベースのデジタルビジネスシステムを保護すること、パッケージ化されたセキュリティ製品でAIを利用してセキュリティ防御を強化すること、攻撃者によるAIの不正利用を予測することだ。
トレンド4:全社レベルの最高セキュリティ責任者(CSO)がセキュリティのさまざまなサイロを統合
2019年には、従来のエンタプライズITシステム以外のインシデント、脅威、脆弱(ぜいじゃく)性の発覚が増加した。これを受けてリーディングカンパニーは、サイバー世界と物理世界の全体にわたってセキュリティを再考した。新たな脅威――例えば、ビジネスプロセスに対するランサムウェア攻撃やビル管理システムに対するシージウェア攻撃(ランサムウェアとビルオートメーションシステムを組み合わせ、機器制御ソフトウェアの悪用によって物理的なビル施設の安全性を脅かす攻撃)、GPSスプーフィング、OT/IoT(オペレーションテクノロジー/モノのインターネット)システムで相次いで発見される脆弱性などは、サイバー環境と物理環境の両方にまたがっている。主に情報セキュリティを担当する組織は、セキュリティ障害が物理的な安全性に及ぼす影響に対処する体制が整っていない。
そのため、サイバーおよび物理システムを展開しているリーディングカンパニーは、全社レベルのCSOを置くようになっている。防御目的で、そして場合によっては、ビジネスを支える目的でセキュリティのさまざまなサイロを統合するためだ。CSOは、ITセキュリティ、OTセキュリティ、物理セキュリティ、サプライチェーンセキュリティ、製品管理セキュリティおよび健康、安全、環境プログラムを、一元的な組織とガバナンスのモデルに集約できる。
トレンド5:プライバシーが独自の分野として定義されている
プライバシーは、もはやコンプライアンス、法務、監査の一部として取り組む領域ではない。定義された独立した領域として影響力を増しており、その影響範囲は組織のほぼあらゆる側面にわたっている。
プライバシーは急速に広がっている領域であり、組織全体にわたって統合を進める必要がある。特に、プライバシー分野は企業戦略を左右する要因の1つとなっており、そのためにセキュリティ、IT/OT/IoT、調達、人事、法務、ガバナンスなどとの緊密な整合性を確保しなければならない。
トレンド6:消費者に対する自社ブランドの維持の取り組みとして、“デジタルトラスト&セーフティ”チームを編成している
ソーシャルメディアから小売店まで、消費者がブランドとやりとりするタッチポイント(接点)は多様化している。消費者がそれらの接点でどの程度安全と感じるかは、ビジネスの差別化要因になる。多くの場合、こうした接点のセキュリティは別々の組織が管理している。各ビジネス部門が担当分野についてのみ管理を手掛けているからだ。だが、企業は、部門横断型の信頼・安全チームが全てのやりとりを統括し、消費者が企業とやりとりする各分野全体にわたって、標準的なセキュリティレベルを確保する体制への移行を進めている。
トレンド7:ネットワークセキュリティの焦点がLANベースのアプライアンスモデルからSASEに
リモートオフィス技術の進化に伴い、クラウドベースのセキュリティサービスの人気が上昇している。セキュアアクセスサービスエッジ(SASE)技術により、企業はモバイルワーカーやクラウドアプリケーションをよりよく保護できる。トラフィックをバックホールし、データセンター内の物理セキュリティシステムを通過させるのではなく、クラウドベースのセキュリティスタックを経由してトラフィックを送信できるからだ。
トレンド8:クラウドネイティブアプリケーションの動的要件を保護するためのフルライフサイクルアプローチが登場している
多くの組織が、サーバワークロードに使用したのと同じセキュリティ製品を、エンドユーザー向けエンドポイントにも使用する。この手法は、“リフト&シフト”のクラウド移行でも継続されることが多かった。だが、クラウドネイティブアプリケーションでは異なるルールや手法が必要になる。そこでクラウドワークロード保護プラットフォーム(CWPP)が開発された。しかし、アプリケーションがますます動的になるにつれて、セキュリティの選択肢もシフトすることが求められている。CWPPと新しいクラウドセキュリティの状態管理(CSPM)を組み合わせることで、当面はクラウドネイティブアプリケーションにおけるセキュリティニーズの全ての進化に対応できる。
トレンド9:ゼロトラストネットワークアクセステクノロジーがVPNを代替へ
新型コロナウイルス感染症のパンデミックは、従来のVPNにおける多くの問題を浮き彫りにした。新しいゼロトラストネットワークアクセス(ZTNA)により、企業は特定のアプリケーションへのリモートアクセスを制御できる。ZTNAはより安全な選択肢だ。アプリケーションをインターネットから“秘匿”するからだ。これは、ZTNAがZTNAサービスプロバイダーとのみ通信を行い、ZTNAプロバイダーのクラウドサービスを介してのみアクセスすることで可能になる。
ZTNAは、攻撃者がVPN接続を悪用して他のアプリケーションを攻撃するリスクを軽減する。ただし、企業がZTNAを本格的に導入するには、どのユーザーがどのアプリケーションにアクセスする必要があるかを正確にマッピングしなければならない。そのため、本格導入には時間がかかりそうだ。
出典:Gartner Top 9 Security and Risk Trends for 2020(Smarter with Gartner)
最高のOSINTリソースを発見し、それを把握することに興味があるならば、@LorandBodoと@technisetteによる専門的なアドバイスが最適でしょう。 / If you are interested in discovering and keeping tabs on the best #OSINT resources, you'll love this expert advice by @LorandBodo and @technisette(転載)
ーー
OSINTリソースの管理方法。start.meで最高【専門家の意見】
OSINTのリソースは多種多様であり、常に流動的な状態にある。一日おきに新しいツールが登場する一方で、古いものは静かに引退していきます。だからこそ、多くの市民ジャーナリストや研究者、調査員が毎日start.meを使っているのです。それはあなたのOSINTの仕事をより簡単にしてくれます。
OSINTコミュニティで有名なTechnisette氏とLoránd Bodó氏に説明を求めた。
start.meを知ったきっかけは?
ロラーンド:Twitterで知りました。最初にstart.meのページを持っていた人が誰だったかは覚えていませんが、technisette.comのTechnisetteさんだったと思います。彼女のページを見たとき、私は「すごい!」と思いました。これはすごい!」と思いました。その時、start.meページはまさに私が探していたもので、OSINTのブックマークを簡単に管理できるソリューションでした。
ブックマークやリンクの管理も簡単です。これはOSINTにとって非常に重要です。
ツールやテクニックなどのリソースをすぐに見つけられるように、自分のページを作って自分の思い通りにデザインすることにしました。
テクニセットです。私の同僚がテクニセットを紹介してくれました。彼はそれがどのように動作するかを教えてくれましたし、とても使いやすかったので、私はすぐにコレクションを構築しました。
どのようにstart.meはあなたを助けるのですか?OSINTリソースを管理していますか?
お気に入りのウィジェットや機能は?
テクニセット。特に何かを持っているわけではありません。主に、すべてのものを分類できる別のボックスを持つオプションがあること。
Loránd。私はリンク切れチェッカーが欲しかったので、PROアカウントを持っています。これを使えば、どのリンクが壊れていて削除すべきかを自動的に確認することができます。ソースは頻繁に来ては消えていくので、自動的にすべてのリンクをスキャンしてくれる機能が欲しかったのです。どのリンクも機能しないブックマークページは嫌です。それがPROアカウントを取得することを決めた主な理由の一つです。
また、私はRSSフィードを作成したいと思っていましたが、これは私が特定のトピックやニュースを監視するために驚くほど便利で超便利だと思います。あなたはstart.meで簡単にそれを行うことができます
他にstart.meで開発してほしいものはありますか?
テクニセットです。私がページの更新をやめた理由は、各ブックマークに添付されているコメントで検索できなかったからです。それがうまくいくと助かります。
Quick start.meの反応。ブックマークの説明文でも検索できるようになりました。このサポート記事を読んでみてください。
Loránd. 大きく気になることの一つにプライバシーがあります。これについては2つの角度から考えています。ダッシュボードを作成するユーザーの視点から:start.meを使用する際に、どのような情報を提供したり、漏洩したりするのか?そして、エンドユーザーの視点からは、私がそのようなダッシュボードにアクセスするときに、start.meはどのような情報を収集するのか?このようなサービスには明確さが必要であり、非常に重要です。
start.meの迅速な対応。私たちは、物事を明確にするために、プライバシーポリシーに平易な英語での紹介を追加しました。
Loránd. テロと過激化 start.meページに目次を作成しました。 もしこのようなカテゴリをもっと簡単に作成できる機能があれば、それを望む人もいると思います。つまり、ページを作成するだけでなく、ワンクリックでサブカテゴリを作成して、ユーザーが相互にリンクした素晴らしいダッシュボードをコンパイルできるようにすることができます。あなたはアイデアを得る。異なるページに自動的にリンクする方法。
さらに多くのアイデア?
Technisetteとのメールによるインタビューは、2020年10月9日に行われました。Loránd Bodóとのスカイプインタビューは、2020年10月19日に行われました。その会話の中で、彼はstart.meを改善するためにさらに多くのアイデアに言及した。
- start.meとそれがOSINT研究にどのように活用できるかを紹介する一連のウェビナー。
- リストを監視できるように改良されたTwitterウィジェット。現在は、単一のユーザーのみをフォローすることができます。
- 学者向けに、その分野の最新記事をモニターできるウィジェットを追加しました。
- ある国で利用されているトップサイトに関するより多くの統計。(Quick start.me note: この情報はDiscoverセクションですでに利用可能ですが、より便利になるように拡張することができます)
2020年に最もよく使われたパスワードは? / The worst passwords of 2020 show we are just as lazy about security as ever(転載)
2020年に最もよく使われたパスワードは?
今年もまた、この12カ月間で、パスワードのセキュリティが改善されたかどうかを確認すべき時期がやってきた。
2015年を振り返ると、もっともよく使われている最悪のパスワードの中に「123456」や「password」といったものが含まれていた。しかし5年経った今でも、こうした例はなくなる気配がない。
NordPassとそのパートナーは、2020年の情報漏えいインシデントで流出した2億7569万9516件のパスワードを分析した。同社は、出現頻度が高いパスワードは極めて容易に推測できるものが多く、こうしたパスワードを使用しているアカウントは数秒で破られてしまう可能性があると述べている。「ほかに同じものがないパスワード」だと考えられるものは、全体の44%にすぎなかった。
パスワードマネージャーを提供している企業であるNordPassは米国時間11月18日、パスワードセキュリティの現状がうかがえるレポートを発表した。頻度が高かったパスワードの上位に来たのは、「123456」「123456789」「picture1」「password」「12345678」だった。
これらのパスワードは、総当たり攻撃で破るのに約3時間かかる「picture1」を除けば、どれも辞書攻撃を行うスクリプトなどを使って数秒で破れるものばかりで、人間でも推測できるレベルのものだった。
200件強のリストの中には「whatever(どうでもいい)」というパスワードもあった。いまだに強力でクラックしにくいパスワードを使うつもりがない人が多いことを考えれば、これはパスワードセキュリティの現状をうまく表したフレーズだといえるかもしれない。リストには他にも、「football」「iloveyou」「letmein(Let me in、自分を中に入れてくれの意)」「pokemon」などのパスワードが含まれていた。
NordPassのデータセットによれば、2020年のもっとも頻度が高かったパスワードのトップ10は以下の通りだ。
パスワードを選ぶ際は、キーボード上で隣り合っている文字や数字を並べるなどの単純なパターンや繰り返しは避けるべきだろう。大文字や記号、数字などを意外な場所に入れることも効果的だ。また、どんな場合でも誕生日や名前などの個人情報をパスワードに使うべきではない。
ベンダー側でも単純な組み合わせはユーザーのプライバシーやセキュリティの守る上で役に立たないことを意識すべきだが、ユーザー側でも、自分のアカウントを責任を持って守る必要がある。
今まさに思い出しておきたいやつ(転載)~オンラインでサイバー脅威情報を収集し、不正な情報源からデータを購入する際の法的考慮事項 / Legal Considerations when Gathering Online Cyber Threat Intelligence and Purchasing Data from Illicit Sources~
https://t.co/YypMBTli7d
I.序章
II.シナリオの前提条件
A.セキュリティの実践者
B.フォーラム
C.フォーラムへのアクセス
III. サイバー脅威情報収集
A.シナリオ1: フォーラムで「潜伏」してサイバー脅威の情報を収集する
B.シナリオ2: 犯罪者フォーラムでの質問の提起
C.シナリオ3:フォーラムでの情報交換
IV.盗まれたデータと脆弱性をサイバーセキュリティの目的で購入すること
シナリオ1: 盗まれたデータの購入
- 購入者がデータの正当な所有者であるかどうか。盗まれたデータは、データ所有者、またはデータ所有者の公認代理人によって購入されたものですか?
- 販売されるデータの種類。盗まれたデータは、連邦法で譲渡または所有が禁止されている情報の種類であるか(例:盗まれたクレジットカード情報や企業秘密など)。
- 売主の身元:売主は、連邦法でデータ所有者が取引を行うことを禁止されている人物ですか?
1.データの所有権
2.データの性質
3.売主の性質
シナリオ2:購入の脆弱性
V.結論
【転載】OSINT 2019 Guide
OSINT 2019 Guide
注意事項
- 本資料は、セキュリティ専門家のTek氏に許可をもらい、ブログ記事『2019 OSINT Guide』を翻訳したものです(Thanks, Tek)。
- 内容については、最大限の努力を持って正確に期していますが、本書の内容に基づく運用結果については責任を負いかねますので、ご了承ください。
- 他の翻訳は、『Scientia Securtity on GitHub』を参照してください。
- ブログは『セキュリティコンサルタントの日誌から』を参照してください。
概要
最近多数のOSINTプロジェクト(Open Source Intelligence)を実施しています。2019年新年のお祝いとして、私が学んだ多くのテクニックを紹介します。もちろん、これは完璧なガイドではありませんが(そして、どんなガイドも完璧にはなり得ないでしょう)、この資料が初心者にとってOSINTを学ぶ助けになり、経験豊富なOSINTハッカーが新しいテクニックを学ぶ助けになることを願っています。
方法論
伝統的なOSINT方法論を端的にいえば、以下のように言えるでしょう。
- 要求定義(何を探しているのか?)
- データ収集
- 収集した情報の分析
- ピボットと報告(収集した情報をもとにピボットを行い、更なる要求定義を行うか、調査を終了し報告書を書くか、決定します。)
この方法論はすこし直観的であり、あまり助けにならないかもしれません。しかし、私はそれでも定期的にこのフレームワークに戻ることが重要だと考えています。そして、このプロセスを反復できるように時間を取ることをお勧めします。調査中、収集されたデータ量がわからなくなり、調査の方向性を把握することが難しくなります。この場合、少し休憩を取り、Step 3とStep 4に戻ることを推奨します。つまり、分析を行い、何を発見できたか整理し、ピボットしたり、答えを引き続き探すべき新しい質問(あるいはより具体的な質問)を定義する手助けをなることを列挙します。
他にできるアドバイス:
- 決してあきらめないこと。 情報を得るためにあらゆる可能性を試し、やりつくしたと感じる瞬間が来るでしょう。でもあきらめないでください。すこし休憩を取りましょう(1時間、あるいは1日別のことをしても良いかもしれません)。そして持っているデータを改めて分析をやり直し、別の視点から再度捉えなおしてみまてください。ピボットできる新しい情報があったでしょうか?もしかしたら、そもそも立てた調査用の質問が間違っていた可能性はないでしょうか?Justin Seitz氏が最近粘り強さに関するブログ記事を投稿し、様々な事例を紹介しています。
- 証拠を保存すること。 オンラインにある情報はすぐに消失します。一回のOpSecのミス、例えばTweetに「Like」ボタンを押してしまったとしましょう。調査対象者が疑い始めたら、突然全てのソーシャルメディアアカウントとWebサイトが削除されてしまう可能性があります。そのため、証拠は保存しておく必要があります。スクリーンショット、アーカイブ、Webアーカイブ(より詳細には後で議論します)、あるいは自分にあった方法でも構いません。
- タイムラインは役に立つ。 フォレンジック調査では、タイムラインとイベント発生時のピボットが同じタイミングであることが重要です。OSINTにおいて、タイムラインはそこまで重要ではありません。しかし、データを体系化する上でタイムラインは重要なツールとなります。いつWebサイトが作成されたのでしょうか?いつFBアカウントが作成されたのでしょうか?最後にブログが投稿されたのはいつでしょうか?こうした情報を一度テーブルに並べることで、自分が探していることについて良い視点が得られるでしょう。
そして、私が有益だと思う二つのメソッドがあります。最初の方法はフローチャートです。これは、データの種類(例えば、e-mail)に基づきより多くの情報を探し出すためのワークフローを表現した図です。私が見た中で最も良い図は、IntelTechniques.comを運営しているMichael Bazzell氏が提唱している図です。例えば、E-mailアドレス情報を調査する場合、Michael Bazzell氏のワークフローを以下に示します。
Michael Bazzell氏によるメールアドレスに対するOSINTワークフロー
これ以降、私は自分独自の調査ワークフローを構築し、時間をかけて少しづつ自分が見つけたテクニックを付け加えて改善していくのがよい考えだと思うようになりました。
私が推奨するもう一つの方法は、特に長期間の調査に有効で、ACH(Analysis of Competing Hypotheses)という方法です。この方法論は、CIAにより1970年代に開発された方法で、アナリストが分析時にバイアスに影響されないようにし、異なる仮説を注意深く評価することを助けてくれます。これは非常に時間を必要するツールであるため粘り強く使う必要があります。しかしもし1年間の長い調査中に調査指針を失った場合は、注意深く仮説を評価することを支援する上でよいプロセスになるのでしょう。
自分のシステムを準備する
調査に入る前に、調査対象の人たちに警戒されないようにOpSecの観点から考えるべきことがあります。目立たない個人のWebサイトへアクセスすればIPアドレスを露呈することになり、自身の場所や所属をさらすことになります。ほかにも、個人のソーシャルメディアアカウントを利用し、間違って「Like」ボタンを押してしまう可能性も考えられるでしょう。
そのため、自分が調査する時は以下のルールに従うようにしています。
- 調査用ブラウザからの全てのアクセスは、商用のVPNやTORを利用することです。 多くの商用VPNは、異なる国でサーバを提供しており、Torは出口ノードとして特定の国を選択することができます。そのため、国を選択することで、不用意なコンテキストとその痕跡を残さずに済みます(USの組織から、USのために調査を実施しているなど)
- スキャンやクローリングのタスクは、自分との関係性がない安いVPSから行う必要があります。
- 調査専用のソーシャルメディアアカウントを利用し、偽名で作成します。
こうした試みをすることで、臨んだ通り自分の姿を隠しながら調査をすることができ、調査対処から特定される可能性もほとんどありません。
ツール
情報セキュリティの世界において、ツールは常にみんなの興味を引く話題でしょう。但し、持っているスキルではなく、数えきれないほどのツールのリストをレジュメ(CV)に列挙している人々を除いてですが。では、はっきり言ってしまいましょう。 ツールは基本的に問題ではありません。ツールを使って何をするかが問題となります。 もし、何をしているか理解できていなければ、ツールは訳に立たないでしょう。理解できない、あるいは評価できないデータの長いリストが並ぶだけです。ツールをテストして、コードを読み、自分自身のツールを作る必要がありますが、自分のやろうとしていることを確実に理解する必要があります。
完璧なツールキットが存在しないのは当然です。最も良いツールキットは、自分が知っており、利用しやすく完璧に使いこなすことができるツールです。しかし、私が使っているツール、あるいは読者が興味をもつであろう他のツールを紹介したいと思います。
Chromeとプラグイン
私は調査用ブラウザとして、Chromeを使います。なぜなら、HunchlyというツールがChromeでしか使えないためです。ここでは、さらに有益なプラグインを紹介しておきましょう。
- archive.is Button は、archive.isに素早くWebページを保存することができます(詳細は後に記載)
- Wayback Machineは、archive.orgの中にあるアーカイブされたページを検索します。
- OpenSource Intelligenceは、多くのOSINTツールへの素早くアクセスできます。
- EXIF Viewerは、イメージ内のEXIFデータを素早くみることができます。
- FireShotは、スクリーンショットを素早くとることができます。
Hunchly
私は最近、Hunchlyを使い始めましたが、非常に良いツールです。HunchlyはChromeのエクステンションであり、調査中に見つけた全てのWebデータをセーブ、タグづけ、検索することができます。基本的には、調査を開始するときにエクステンションにある「キャプチャ」のボタンをクリックするだけです。Hunchlyは、アクセスしたページ全てをデータベースに保存し、後でタグやノートを追加できるようにしてくれます。
これは、年間130USDかかりますが、このツールがもたらす利便性に比べればそこまで高いとは言えないでしょう。
Hunchlyダッシュボードのスクリーンショット
Maltego
Maltegoは、OSINTツールというより脅威インテリジェンスツールと呼ぶべきでしょう。しかしグラフは、調査データを分析し、表現するうえで最も良い方法になります。基本的に、Maltegoはグラフを表現し、グラフ内に新しいデータを見つけるために変換するためのGUIを提供してくれます(例えば、Passive DNSデータベースからドメインに紐づくIPアドレスなどを表示してくれます)。少し高額ですが、脅威インテリジェンスや攻撃基盤分析などをやっていればその価値はあるでしょう。(初年度999ドル。そして、ライセンス更新ごとに年499ドルです)。ほかにも、Maltego Community Editionを使うこともできます。これは、データの変換やグラフのサイズなどに制約がありますが、小さい調査であれば十分すぎるほどの機能を提供してくれます。
Maltegoのスクリーンショット(情報源: Paterva)
Harpoon
私は、Harpoonというコマンドラインツールを作成しました(このツールの詳細は、このブログ記事を参照してください)。これは脅威インテリジェンスツールとして作成しましたが、OSINT用コマンドを多数追加しました。これは、Linux環境にあるPython3で動き、オープンソースです(多分、MacOSとWindowsOSでも動くと思います)。
例えば、キーサーバーにあるPGPキーを探す際には、Harpoonを以下のように使います。
$ harpoon pgp search tek@randhome.io
[+] 0xDCB55433A1EA7CAB 2016-05-30 Tek__ tek@randhome.io
さらに、プラグインに関する長いリストがあります。ぜひ追加すべき新しい機能を思いついたら、提案あるいは開発、あるいはリクエストを挙げてください。
Python
しばしば、ツールを使っても簡単には終わらない特定のデータ収集と可視化タスクを早く切り上げたいと思うでしょう。その場合、自分でコードを書く必要があります。私の場合、Pythonを使うことが多いです。最近のプログラミング言語であれば同様に目的を達成できますが、私はPythonが持つフレキシビリティと利用可能な多数のライブラリを活用するため、Pythonを選んでいます。
Justin Seitz (Hunchlyの作者)は、PythonとOSINTについて言及していますので、彼のブログAutomating OSINTと彼の著書Black Hat Pythonはぜひ読んでみてください。
他のツール
OSINTツールはほかにも多数ありますが、全ての調査で有益とは言えないツールもありました。以下に、読者が知っておくべき他のツールを紹介します。個人的には必須ツールにはなりませんでしたが、こうしたツールは非常に興味深く、完成度の高いツールです。
- SpiderFootは多数の異なるモジュールを持つ、偵察用ツールです。非常に良いウェブインターフェースを持っており、異なるタイプのデータ間の関係性を示すグラフを生成してくれます。私がこのツールを好きでない点は、利用者のために全てを見つけてきてくれる魔法のツールと考えられてしまう点です。しかし、何を探しているか利用者の考えをくみ取り、結果を分析してくれるツールはありません。要するに、自分自身で研究し全ての結果を一つづつ読まなくてはいけません。良いツールでよいインターフェイスを持っていますが、SpiderFootはその点についてはあまり役に立ちません。
SpiderFootのスクリーンショット(情報源:spiderfoot.net)
- recon-ngは、素晴らしいCLIツールで、異なるプラットフォーム、ソーシャルメディア、脅威インテリジェンスプラットフォームから情報を取得することができます。正直、Harpoonに正直よく似ています。なぜ使わないかというと、Harpoonが自分ニーズに必要な機能を提供してくれており、提供されるシェルインターフェイスが苦手であるためです。
- Buscadorは、Linuxの仮想マシンで、異なるOSINTツールが含まれています。私は、いつも自分用にカスタマイズされたシステムを好みますが、ツールを一つづつインストールする手間なく新しいツールを試すことができる良い方法です。
さあ始めよう!!
さて、それでは具体的な内容に入っていきましょう。OSINT調査において何が助けになるでしょか?
技術的なインフラストラクチャ
技術的インフラストラクチャの分析は、脅威インテリジェンスとオープンソースインテリジェンスが交差する点です。しかし、いくつかの点で調査の重要なパートになり得ます。
さて、読者が探すべきは以下の通りです。
- IPとドメイン:この目的のツールは多く存在しますが、Passive Total(現在は、RiskIQ)が最も良い情報源になると思います。Webインターフェイスから1日15クエリまで、API経由でも15クエリまで無料で使えます。ほとんどこのツールを使っていますが、Robtex、HackerTargetand、Security Trailsも他の良い代替ツールになります。
- 証明書: Censysは素晴らしいツールです。しかし、より知られておらず少し劣りますがcrt.shも非常によい証明書の透明性データベースです。
- スキャン:IPアドレス上でどのようなサービスが動いているか確認することは有益です。Nmapを使って自分でスキャンすることもできますが、全てのIPv4アドレスに定期的にスキャンしてくれるプラットフォームを活用することもできます。その二つのプラットフォームこそ、CensysとShodanです。この二つは異なる側面に焦点を当てており、それぞれの特徴を知り、両方を使いこなす必要があります(ShodanはIoTに焦点を置いており、CensysはTLSに焦点を置いています)。BinaryEdgeは最近登場し急速に発展している代替となるプラットフォームです。より最近では、Fofaと呼ばれる中国プラットフォームが登場しました。別の情報源として、Rapid7 Open Dataが挙げられますが、スキャンファイルをダウンロードする必要があり、自分で分析を行う必要があります。最後にIPアドレスに関する時系列データはプラットフォームの変遷を理解する上で金脈となることを指摘したいと思います。Censysはこうしたデータを有償プランでしか提供してくれません(アカデミックの研究者は無料で利用することができます)が、ShodanはIPごとにこうしたデータを提供してくれ、非常に素晴らしいです。harpoon shodan ip -H IPがコマンドがもたらす内容はぜひ確認してください(Shodanのライフアカウントを支払う必要があります)
- 脅威情報:OSINTではあまり重要ではありませんが、ドメイン、IP、URLに対する悪性のアクティビティを確認することは常に興味深いことを教えてくれます。これを行うために、私はPassive TotalとAlienVault OTXに依存しています。
- サブドメイン:あるドメインに対するサブドメインのリストを取得する方法は様々あります。例えば、Google検索(Site:ドメイン)を使う方法から、証明書に記載されている代替ドメインを探す方法などが挙げられます。Passive Total、BinaryEdgeは、この機能を実装しています。そのため、初期リストを得るためであれば、こうしたサービスに直接クエリを投げることが手っ取り早いでしょう。
- Googleアナリティックスとソーシャルメディア:最後の情報は、とても興味深いもので、複数のwebサイトで、同じGoogleアナリティックス・アドセンスIDを使っているか確認することです。このテクニックは2015年発表され、ココに詳しく書かれています。こうしたコネクションを探すためには、私はPassive Total、SpyOnWeb、NerdyDataを使っています。 (publicwwwは、別の有償サービスとして知られています)。
検索エンジン
コンテキストに依存して、調査中は異なる検索エンジンを使い分けてるかもしれません。私は、そのほとんどをGoogle、Bing(欧州・北米用)、Baidu(アジア用)、Yandex(ロシア・東ヨーロッパ)に依存しています。
もちろん、最も基礎的な調査ツールは、検索演算子です。Googleの検索演算子のリストはココにあります。以下に最も興味深いものを抜粋しました。
- 以下のブーリアン型の論理演算子を使いクエリを結合することができます。AND、OR、+、-
- filetype:特定のファイル拡張子を検索を行います。
- site:特定のWebサイトへフィルタを書けます。
- intitleとinurl:タイトルやURLにフィルタを行います。
- link:特定のURLへのリンクを持つWebサイトを探すことに特化します。(2017年に非推奨になりましたが、現在でも一部機能します)
以下に例文を示します。
- NAME + CV + filetype:pdf:この組み合わせは特定のCVを探し出すのに役立ちます。
- DOMAIN - site:DOMAIN:Webサイトのサブドメインを探すのに役立ちます。
- SENTENCE - site:ORIGINDOMAIN:特定の文章をコピーしたり剽窃したサイトを探し出します。
よく詳しくなるためには、以下を参照してください。
画像
画像の観点では、二つのことを知っておくべきでしょう。どのように画像に関する追加情報を探し出すか、そしてどのように類似した画像を探し出すかです。
追加情報を探し出すためには、最初のステップとして、EXIF情報に注目しましょう。EXIF情報は、イメージが作成されたときに付与されるメタデータであり、作成時刻、使われたカメラの情報、さらにはGPS情報が付与されていることもある非常に面白い情報を含んでいます。これらを確認するため、私はコマンドラインツールであるExifToolを使うことが多いですが、ChromeやFirefox向けに提供されているExif Viewerアドオンも非常に使いやすいと思います。さらに、面白い機能を備えているPhoto Forensic website使うのも一つの手でしょう。(他の代替手段として、exif.regex.infoやFoto Forensicsも挙げられます)。
似たようなイメージを探すためには、Google Images、Bing Images、Yandex Images、TinyEyeを使えばよいでしょう。TinyEyeは使いやすいAPIを提供しており(使い方はココを参照のこと)、Bingは画像の特定の部分を使って検索することができる有益な機能を持っています。remove.bgなどのツールを使って、イメージのバックグラウンドを取り除くことで、より良い結果を得ることができます。
例えば、場所を見つけ出すなど、画像の内容を分析する楽な方法はありません。どの国が候補に挙がるか推測するためには、画像の中に移りこんでいる特定の目印を探し出す必要があります。そして、ネット上で検索を行い、衛星画像と比較していく必要があります。このテクニックについて学ぶためには、Bellingcatが実施した興味深い調査結果が、ココやココにありますので参照してください。
さらに学ぶためには、以下のリソースを参照してください。
- BellingcatによるMetadata: MetaUseful & MetaCreepy
- First Draft newsによるThe Visual Verification Guide
ソーシャルネットワーク
ソーシャルネットワークの分野では、多くのツールが存在します。しかし、プラットフォームに多く依存します。以下に有益なツールとテクニックを抜粋します。
- Twitter:APIは、ツイートが公開された時間とツールを教えてくれます。x0rzが開発したtweets_analyzerは、アカウントのアクティビティの概要をまとめてくれるツールです。メールアドレスからTwitter IDを探してくる方法も複数存在しますが、少し特殊な方法を使います。
- Facebook:Facebookの調査で最も良いリソースは、Michael BazzellのWebサイトでしょう。特に彼の独自ツールのページは秀逸です。
- LinkedIn:LinkedIn上で私が見つけた最も有益なテクニックの一つは、メールアドレスからLinkedInプロファイルを見つける方法です。
キャッシュプラットフォーム
調査時において、素晴らしい情報源になるものの一つに、Webサイトのキャッシュを作成するプラットフォーム群が挙げられます。なぜなら、Webサイトは押したり、Webサイトの時系列的な変遷を分析できるためです。こうしたプラットフォームは、自動的にWebサイトをキャッシュするものもあれば、リクエストに応じてキャッシュするものもあります。
検索エンジン:多くの検索エンジンは、クローリングしたときのWebサイトのコンテンツをキャッシュとして保存します。これは非常に有益であり、多くのサイトのキャッシュを見ることができます。但し、最後にキャッシュされるタイミング(多くの場合1週間以内だと思います)を管理できないこと、すぐに削除されてしまう事実も抑えておく必要があります。そのため、もし面白い情報をキャッシュ上で見つけたら、すぐに保存することをお勧めします。私はGoogle、Yandex、Bingなどの検索エンジンのキャッシュを使っています。
インターネットアーカイブ:Internet Archiveは、インターネットに公開された全てを保存するという目的で動いているプロジェクトです。この中には、自動的にクローリング対象のWebページを保存するだけでなく、そのサイトの変遷も巨大なデータベースとして保存しています。彼らは、Internet Archive Wayback Machineと呼ばれるWebポータルを提供しており、Webサイトの変遷を分析する上で非常に優れた情報源です。一つ知っておくべき重要なことは、Internet Archiveは要請があればコンテンツを削除するということです。(実際、Stalkerware company Flexispyの件で、削除したことがあります)。そのため、保存しておく必要があるコンテンツは、別の場所に保存しておく必要があります。
他の手動キャッシュプラットフォーム:私は、Webページのスナップショットを保存でき手、他の人が取得したスナップショットを閲覧できるarchive.todayを好んで使っています。多くの調査でこのサイトへ依存しています。perma.ccも良いですが、無料アカウントでは1か月10リンクまでしか使えないという制限があり、プラットフォームは、図書館や大学に焦点を当てています。このソースコードはオープンソースで提供されており、キャッシュプラットフォームを独自で構築したいと考えた場合、間違えなくこのソフトを使うでしょう。
Webキャッシュが存在するか一つづつ手作業で確認していくことはめんどくさいと考える人も多いでしょう。そのため、私は、Harpoonに簡単なコマンドを実装しました。
さらに、以前言及したHunchlyは、「レコーディング」機能を有効にした場合、アクセスしたあらゆるページをローカルアーカイブに自動的に保存してくれることも覚えておく必要があります。
証拠の取得
次のポイントに移りましょう。それは、証拠の取得です。証拠の取得は、調査における重要なフェーズの一つです。特に、調査が長引く場合には非常に重要です。間違えなく、Webサイトが変更された、Twitterアカウントが削除されたなど、何度か自分が見つけた証拠をなくす経験をするでしょう。
覚えておくべきことは、以下の通りです。
- Internet Archiveに完全に依存することは難しいですので、他のキャッシュプラットフォームや可能であればローカルに保存することをお勧めします。
- 画像、文書を保存しましょう。
- スクリーンショットを取得しましょう。
- ソーシャルメディアに関する情報を保存しましょう。攻撃者はいつでもこうした情報を削除することができます。(Twitterアカウントにおいては、Harpoonは、ツイートとユーザ情報をJSON形式のファイルで保存するコマンドを用意しています。)
さらに勉強するためには、以下のリソースをご覧ください。
- How to Archive Open Source Materials(Aric Toler from Bellingcat)
短縮URL
短縮URLは、利用する際に非常に興味深い情報をもたらします。異なるサービスにおいて、統計情報を取得する方法をまとめました。
- bit.ly:URLの最後に、https://bitly.com/aa+ のように + を追加してください。
- goo.gl:(もうすぐ非推奨になりますが)URLの最後に + を追加することで、https://goo.gl/#analytics/goo.gl/[ID HERE]/all_time のようになURLへリダイレクトします。
- ow.ly:hootsuite社が提供する短縮URLサービスですが、統計情報を見ることはできません。
- tinyurl.com:統計情報を取得できませんが、http://preview.tinyurl.com/[id] にすることでURL自体をみることができます。
- tiny.cc:https://tiny.cc/06gkny~ のように ~ をつければ、統計情報を見ることができます。
- bit.do:http://bit.do/dSytb- にハイフン(-)をつければ、情報を取得することができます。(統計情報は非公開の場合があります)
- adf.ly:この短縮URLは、リンクへのリダイレクト時に広告を表示することで収益を上げることを提案しているサービスです。彼らは、j.gsやq.gsなどその他のサブドメインを多数利用し、公開の統計情報を閲覧することができません。
- tickurl.com:https://tickurl.com/i9zkh+ のように + をつければ統計情報へアクセスできます。
いくつかの短縮URLは連番のIDが使われている可能性があります。その場合、同時刻に作成された似たようなURLを推測できる可能性があります。このアイディアの事例はこのレポートを参照してください。
企業情報
いくつかのデータベースでは、企業情報を検索することが可能です。メインで利用されるものは、Open CorporatesやOCCRP database of leaks and public recordsが挙げられます。その後、各国に応じたデータベースに依存していきます。例えば、フランスではsociete.comが有名ですし、米国であればEDGARへ、イギリスであればCompany Houseへアクセスすべきでしょう(より詳細な情報は ココから参照してください)。
参考文献
OSINTを学ぶ上で更なるリソースとしていかが挙げられます。
- Bellingcatによる貴重なリソース:ガイドとコミュニティが作成した情報リスト
- The Github repository:Awesome OSINT
- The OSINT framework
- osint.link
これですべてです。時間をかけてこのブログを読んでくれてありがとうございます。もし追加すべきリソースがあればTwitterなどから気軽にコンタクトしてください。
このブログ投稿は、Nils Frahmを聞きながら書きました。
更新1:Yandex Images、remove Background、 Forensicを追加しました。このテクニックを教えてくれたJean-Marc Manachとfo0に感謝します。