OSINTについての日々の執筆 - Cyber Detectiveへのインタビュー / Writing about OSINT daily – interview with Cyber Detective

Writing about OSINT daily – interview with Cyber Detective

今日は特別なものをお届けします。情熱的で、非常に多作で、細心の注意を払ってOSINTコミュニティに定期的に貢献している人物、Cyber Detectiveへのインタビューです。

このゲストは、様々なOSINTツールに関するツイートを毎日発信し、有用なトレードクラフトのヒントを比類のない定期性と品質で共有しており、真の意味でのフォロワーの雪崩を起こしています。

このインタビューを読む以外にも、OSINTツールの詳細なリスト(バックアップ)をチェックする必要があります。このリストは詳細なカテゴリーに分類され、定期的に更新されています。

優れた捜査官になるためには、まず、無料の記事や教科書、OSINTツールキットを活用しながら、少なくともいくつかの複雑で真剣な捜査を行ってみるべきです。膨大な量の情報が公開されているのだから。

 こんにちは、イワンさん、お元気ですか?

皆さん、こんにちは。元気にやっていますが、ひとつはっきりさせておきたいことがあります。私の名前はイリーナです。

私は通常、匿名のネットワークアカウントを登録する際に「Ivan Ivanov」という名前を使っていますが、これは非常に一般的なロシア語の名前だからです(「John Smith」や「Amit Kumar」のようなものです)。

自己紹介や仕事内容はどのようにしていますか?

Twitterのアカウントを使うときは、自分の正体を明かさないようにしています。

私がしていることは、OSINTに興味を持っている人たちが何か新しいものを見つけたり、刺激を受けたり、時には職業上の活動に役立つものを見つけることができるようなツイッターを毎日投稿することです。

私のツイートは、私立探偵、調査ジャーナリスト、OSINTツールの開発者、そして現代のテクノロジー全般に興味があり、OSINTについてもう少し知りたいと思っている人たちにとって便利なものかもしれません。

OSINTを始めたきっかけは何ですか?

2000年代半ば頃、私がまだ学校に通っていた若い女の子だった頃に始まったと思います。当時、私はインターネットにアクセスできるようになったばかりで、何時間もサイトのカタログ(例えば、apport.ruのカタログ)を見て、何か面白いものはないかと探していました。

そして、nomer.orgというサイト(ロシアの主要都市の電話データベース、90年代以降は更新されていない)に出会いました。そこには、私の祖母、祖父、兄、父の姿がありました...。

私は嬉しくて、そのサイトをブックマークに追加し、このような知識ベースがもっとあるのではないかと徐々に思い始めました。そして、ロシアのハッカーフォーラムから電話帳をダウンロードするようになりました......そこからは、何となく勝手に進んでいった感じです。

どのような経験をお持ちですか?

私は、ジャーナリズムの仕事の中でOSINTを使用してきました(趣味やパートタイムの仕事と言ってもいいかもしれませんが)。また、ビジネス上の連絡先を探したり、新しい知り合いの評判を調べたり、ソーシャルネットワーク上の人々のつながりを調べたりするなど、自分自身や身近な人々のために様々な個人的な問題を解決するためにも、定期的にこのスキルを使っています。

書く内容はどうやって見つけますか?

仕事の課題を解決するためのツールを探さなければならないことがあります。それを見つけて、それについて話すこともあります。

また、ニュースやソーシャルメディアのフィードを読んでいて、面白いものを見つけることもあります。

また、座っているときにふと思いつくこともあります。「誰かがすでにサービスを作っているのではないか」と考え、それを見つけるのです。例えば、サメやカメ、ワニを追跡するための地図がそうでした。

また、時間があるときには、GithubやChrome Web Storeなど、アプリやアドオンを投稿するサイトを無造作に見て、OSINTに役立つものを見つけようとすることもあります。

そしてもちろん、読者の方から定期的に質問をいただき、そこからツイートのアイデア(時にはスレッド全体)を得ています。

例えば、今日はDrishtiのツールキットでこんなことがありました。とか。

自分が扱っているツールや方法はすべて試してテストしているのですか?

リストを除いて、ツールについてのツイートには、そのツールがどのようにテストされ、何が得られたかを示すスクリーンショットを添付しています。

正直なところ、ツールのすべての機能を常にテストしているわけではありません。でも、少なくともいくつかの機能が動作すれば、それだけで十分に話題になります。

Cyber Detectiveはどのような思いで作られたのですか?

このプロジェクトの主要なアイデアは、OSINT用ツールの独立した開発者をサポートすることです。

Githubなどには、動作する、よくできた、便利な調査用ツールがたくさんありますが、そのリポジトリは10個の星か、それ以下であることが多いのです。Githubなどにはプロジェクトを宣伝する仕組みがなく、制作者はソーシャルネットワークで宣伝したくないと思っていることが多いのです。あるいは、その方法がわからないのです。

私は、開発されたすべてのツールが、たとえ品質の低いものであっても、ユーザーを見つけ、開発者が適切なフィードバックを得られることを願っています。

独立系の開発者が自分のツールのユーザーを見つけるためにはどうしたらいいと思いますか?

私は定期的にGithubの最新のリポジトリをチェックしていますが、私の時間のほとんどは、設計が不十分で未完成のプロジェクト(何をするのか、どうやってインストールするのか、どうやって実行するのかが不明)を拒否することに費やされています。

私はすべてのOSINTツール開発者に以下のことをアドバイスします。

- そのツールがどのように動作するかを示す写真付きの優れたREADMEファイルを含めること。

- Windows、Linux、Macにツールをインストールする方法をREADMEで説明する。

- ツールが何をするのかをREADMEに明記し、正しいタグを含めること。

- ツールのヘルプ機能を記述する(-h)

この段階で、100人中95人がGithubに載せたものよりも、(コードの質に関わらず)すでにプロジェクトがかっこよくなっています。そして、ユーザーがStackoverflowで検索しなくてもツールが動くようになれば、開発者は本当のヒーローであり、スーパースターです:-)

とはいえ、Github上のプロジェクトが自動的に宣伝されるとは思わないでください。さまざまなソーシャルネットワークでリンクを公開するのが確実です。別の方法としては、Twitterにアカウントを作成し、様々な技術系ブロガーに連絡を取り、あなたのプロジェクトについて話してくれるようお願いしてみましょう。

たとえそのツールがユニークで実際に役立つものであっても、アプリケーションやツールを宣伝して収益化することは、非常に困難で時間のかかる仕事であることを覚えておくとよいでしょう。特に、開発者がお金をかけていない場合はなおさらです。

お気に入りのOSINTツール/テクニックとその理由を教えてください。

地理的に配置されたビデオ、写真、ソーシャルメディアの投稿を表示するさまざまなマップがとても好きです。今、このカテゴリーでお気に入りのツールは「Skylens」です。

ソーシャルメディアのアカウントを持っておらず、自分自身の情報をオンラインで公開していない人でも、自宅や職場の住所が同僚や友人、親戚、隣人のプロフィールに記載されていることがあります。調査対象に関する情報が雪崩のように出てくることがあるのです。

現在、OSINTトレーニングを提供するコースやプラットフォームは数多くあります。非常に高価なものもあります。それらについてどう思われますか?

SANSのコース(6日間で7,000ドル以上)やBellingcatのワークショップ(16時間で800ユーロ)の価格を見ると、いつか自分でコースを作って教え始め、アパートやヨット、ジェット機を買うことを想像してしまいます......。

しかし、真面目な話、良い調査員になるためには、まず、無料の記事や教科書、OSINTツールキットを利用しながら、少なくともいくつかの複雑で深刻な調査を行ってみるべきだと思います。膨大な量の情報が公開されているのだから、そのために急いでお金を払うべきではない。

しかし、仕事のために認証が必要ならば、コースは意味があります。

また、OSINT用のさまざまなオープンソース・ツールを実行したり設定したりするのに役立つ技術を時間をかけて学ぶことをお勧めします。たとえば、Python、Javascript、Node.js、データベースとSQL、正規表現、Linuxコマンドラインの基本コマンド、Gitなどです。

OSINTにおける生産性を飛躍的に向上させるためには、上述の6つのトピックのそれぞれに2~4時間を割くとよいでしょう。

OSINTの分野でキャリアを積みたい人にとって、認定資格は必要だと思いますか?

資格取得のためにお金を払う前に、応募しようとしている会社に手紙を書いて聞いてみるといいでしょう。私の経験では、正式な資格を必要とする企業はほとんどありません。

また、OSINTサービス市場はまだ始まったばかりで、「OSINTスペシャリスト」と呼ばれる高給取りの仕事はそれほど多くありません。OSINTの能力は良い仕事を見つけるのに役立ちますが、それは他のスキルと組み合わせた場合に限られます(ただし、近い将来、状況は劇的に変わるかもしれません)。

ジャーナリスト、科学者、警察官、人事管理者、ペンテスト、サイバー・セキュリティ・スペシャリスト、私立探偵など。

また、ロシアのOSINTスペシャリストの求人市場はどうなっているのでしょうか?

私はこの質問に1枚の写真で答えよう。ロシアで最大の求人サイトの1つのスクリーンショットである。


比較のために、Pythonのスキルを必要とする求人は6693件あります。

OSINTスペシャリストの仕事はほとんどありません。それに、私が見たことのある仕事は(多くの場合、このテーマに特化したTelegramチャンネルで)、あまり高給ではありませんでした(毎月500~1000ドル)。どの提案も私には面白いとは思えませんでした。

しかし、もう一度言いますが、OSINTを勉強するのは、仕事を得るためではなく、自分の主な専門分野でより良い結果を出すためです。

お金といえば。Twitterのアカウントをどうにかして収益化しようと考えていますか?

私はプランナーというよりは、夢想家です。

今はまだ視聴者数が少なすぎて考えられません。ときどき、何万人ものフォロワーを持つようになったときのことを想像してみるのですが、その見通しはあまり明るいものではありません。

例えば、Twitterの読者をMediumの自分のアカウントに連れてきて、閲覧数に応じてお金を受け取ることはできません。なぜなら、ロシアはアフィリエイトプログラムの対象国ではないからです。

Githubでのスポンサーシップについても同様の状況です。ロシアではStripeの決済システムがサポートされていないため、この機能は利用できません。

さらに、ロシアでは小切手を現金化したり、Payoneer銀行カードを開設することはできません(昨年からは、そこからロシアの銀行口座への送金のみ)。

他のプラットフォームでも、お金を稼いだり引き出したりする際に同様の問題があります。

読者から寄付を募ることを考えたことはありますか?

それはかなり無意味なことだと思います。18,000人のフォロワーを持つ@sector035でさえ、BuyMeaCoffeeのサポーターは9人しかいません。

そして、WHIIspectorには2人しかいません。

だから、何か商品やサービスを売ることが唯一の望みだと思います。

あなたのプロフィールに、以前のTwitterアカウントが閉鎖されたと書かれていました。何があったのですか?

2021年8月11日のある日、私はツイッターで自分のフィードにあるツイートに「いいね!」を押していました。すると突然、その行為が禁止されているという通知が来たのです。それは、私のアカウントが突然ブロックされたということでした。

テクニカルサポートに問い合わせましたが、ブロックされた理由は教えてもらえませんでした。さらに、新しいアカウントを作ることも禁止されていて、それもブロックされる可能性があると書かれていました。

それでも私は、新しいアカウントを作って、もう一度視聴者を増やしてみようと思いました。8月11日、旧アカウントのフォロワー数は1,912人でした。今日、新しいアカウントのフォロワーは3,500人を超えました。でも、いつでもゼロからやり直せるようにしておかなければならないと思っています。

アカウント停止の理由については、想像するしかありません。でも、OSINTのアカウントがブロックされたのは私だけではありません。例えば、Ben H(新アカウント@Techjournalisto)にも同じようなことが起こり、3,000人以上のフォロワーを失いました。

ロシア関連のOSINTのコツはありますか?

もちろん、たくさんありますよ。ただ、私にはロシア語を話すフォロワーがあまりいないので、それらについて書くことはほとんどありませんが。

「ロシアのOSINT」の主なトリックは、多数のテレグラムボットを使って、政府関係者、法執行官、交通警察(車検)職員、携帯電話ショップの販売員などがネットワーク上に不正に流出させたデータベースを使って、住所、電話番号(Nomerでも検索可能)、車、人物などの情報を検索することです。

ロシアでは、個人情報の漏洩に対する罰則が非常に軽い(個人への罰金は300〜500ドル)ため、様々な公的データベースの販売は、金儲けの手段として非常にポピュラーなものとなっている。

また、流出したデータベースが掲載されているロシアのTelegramチャンネルを見てみるのもいいでしょう。例えば、私はこれが好きです(https://t.me/leaks_db)。そこでは、個々の都市や企業に関する興味深いデータベースを見つけることができます。

ロシア出身の特定の人物に関する情報を確認するためにデータベースのリストを選択する際には、何千万人ものロシアの住民が、今は亡きソビエト連邦の他の国で生活した経験があることを覚えておくとよいでしょう。

ロシア出身の人物に関する情報を探す際には、ベラルーシ、ウクライナ、カザフのOSINTリソースも利用すべきです。

もちろん、ロシア人の情報を探すためには、VK.com、Odnoklassniki、Mail.ru、Yandex.ruなどのポータルでOSINTの可能性を深く探る必要があります(後者については、例えば、YaSeekerというツールがあり、IDによってさまざまなYandexサービスのアカウントへのリンクの完全なリストが得られます)。

上記のTelegramボットに興味がある方は、こちらでいくつかのボットを見つけることができます: https://t.me/howtofindbot

あなたはTelegramについてよく言及していますね。あれは本当に匿名のメッセンジャーだと思いますか?

不特定多数の人にハッキングされないように通信を保護するという観点から見れば、おそらくそうでしょうね。

しかし、何らかの犯罪にTelegramを利用したいと考えているのであれば、Telegramに頼るべきではありません。

国家保安機関は、テレグラムの違法行為を行っている人々を定期的に特定し、逮捕しています。ロシアに限らず、世界中で。

この分野には、ロシア出身の才能ある優秀な人材がたくさんいます。しかし、ロシアのAPTグループやハッカー、政府の行動によって、彼らの多くが同じような目で見られているように感じることがあります。これにはどう対処していますか?

ロシアのハッカーの悪評が私の生活に影響しているとは感じていません。また、これまでは、ロシアのハッカーが特に悪い評判を受けているとは思っていませんでした。

そう、ロシアのハッカーは一般的にロシア国内のターゲットを攻撃しないからです。しかし、たとえばアメリカやヨーロッパでのランサムウェアの攻撃は?誰かに「あなたはロシア人だからハッカーだろう」とか「ITに詳しいロシア人はみんなサイバー犯罪者だ」などと言われませんでしたか?

いいえ、誰にもそんなことを言われたことはありませんでしたし、あなたに質問される前には、このことが問題になるとは考えたこともありませんでした。

ロシアではデジタル・プライバシーを維持するのは難しいのでしょうか?

これは、生まれたときから両親に地下室に隠されていて、パスポートや個人納税者の携帯電話番号などを持っていない子供には可能です。

あなたが、自分たちが属するシステムのルールに従う普通の人であれば、次のようなことになります。

- あなたのパスポート情報、犯罪記録、電話記録、携帯電話番号が、ソーシャルネットワーク、電車の乗り方、飛行機の乗り方、個人の財産などに結びついているのです。これらの記録は、50~100ドル(10ドルで十分な場合もある)を払えば、誰でも入手できる。

- インターネット上でのあなたの行動や電話での会話はすべて、SORM(System for Operative Investigative Activities)というシステムの厳格な管理下にあり、諜報部員が調べようと思えば、完全に透明な状態で見ることができます。

このような制限を回避してプライバシーを確保するには、法律に違反するしかありません。つまり、違法に購入したSIMカードや携帯電話を使用したり、自分のWi-Fiホットスポットではなく、危険なWi-Fiホットスポットを使用したりすることである。)

ロシアのターゲットに対してOSINTを行うが、言葉を話せない人にアドバイスはありますか?

Telegramをインストールして、@HowToFindBot(https://t.me/howtofindbot)を起動してください。そこには、ロシア人の情報を英語の説明文で探すサービスがたくさんあります。

Labels: ,

週刊OSINT 2021-39号 / WEEK IN OSINT #2021-39(転載)

 

Week in OSINT #2021-39

今回の週刊OSINTは、さまざまなトピックで埋め尽くされています。ヒントやトリックから、ICIJによる金融データの新しいダンプまで!

  • OSINT News Sheet
  • Verify Gmail Addresses
  • Links for Datahoarders
  • Views on Verification #2
  • URL Manipulation
  • Pandora Papers
リンク: OSINT News Sheet

TwitterでBen Heublを見逃してしまった方、その通りです。彼が国外に引っ越した後、Twitterのアルゴリズムによってアカウントがブロックされたのですが、別のアカウントでオンラインに戻ってきました。@Techjournalistoです。ベンは、Max BernhardJordan WildonTom JarvisBrecht Castelとともに、オープンソースを使って記事を検証・調査したニュース記事を集め、そのリンクをGoogleシートに保存しています。ニュース記事の調査、論破、検証にどのようなテクニックが使われているかを見てみましょう。



小技: Verify Gmail Addresses

TwitterユーザーのOdint - OSINTは、先週、ちょっとした小技をTwitterで披露しました。例えば、たくさんのメールアドレスを列挙して、どれが本物かどうかをチェックしたいとします。それをGoogleシートにまとめ、マウスカーソルを合わせるだけで、どれが有効か無効かを見分けることができるのです。アバターが標準の「Googleブルー」のものと違っていて、チャットオプションが有効になっていれば、それは有効なメールアドレスのようです。Google Sheetsによる便利な小機能です。ナイスな発見!ありがとうございます。




タイトルは "awesome open directories "ですが、実際にはデータを溜め込んでいる人や、公開されているデータを利用したいと思っている調査員のためのリソースのリストです。また、FileChefのように、Google Docs内の公文書を検索するためのGoogle CSEを提供するツールもあります。リンク、サブレディット、ウェブサイトの本当に素晴らしいコレクションです。David Chorváthさん、シェアしてくれてありがとうございます。



以前、検証に関するJordan Wildonの小さなTwitterスレッドを紹介しました。彼はその脅威を拡大し、Logicallyに記事を書いてくれました。すでにシェアされていたにもかかわらず、私は再び彼の意見を紹介します。なぜなら、1つのRedditの投稿、1つのツイート、あるいは適切に検証されていない内容のYouTubeビデオによって、罪のない人々の生活が破壊される可能性があることを心に留めておくことが何よりも重要だからです。


チュートリアル: URL Manipulation

Twitterでosintmeとして知られているMaciej Makowski氏が、URL操作と呼ばれるものについて、ちょっとした紹介をしています。これは、興味のあるページを見つけたり、普通の人には隠されているものを見つけたりするための、ペンタリストには珍しくないテクニックです。この記事では、アバターの大きな画像を見つけたり、興味深いサブドメインを見つけたり、インデックスに登録されていないコンテンツを見つけたりするためのテクニックを紹介しています。また、2018年に書いたこの記事や、今は亡きJiraのオープンAPIについての古い記事では、ほぼ同じテクニックが使われていますので、実際に使ってみてください。オープンな情報」を見つけることと、ウェブサイトの設定に実際のバグがあることを見つけることの間には細い線があるので、倫理的で責任ある行動を心がけましょう。

記事: Pandora Papers

国際調査報道ジャーナリスト連合(ICIJ)は、600人のレポーターとともに、数ヶ月にわたって新しいプロジェクトに取り組んできました。タックスヘイブンに関する約1,200万件のリーク文書を調査し、地球上の有力者や企業による財務上の不正行為に新たな光を当てました。デンマークの銀行が外国のお金を隠していたり、中国の政治家がたくさんのオフショア企業を持っていたり。そして、それは大規模なものです。文書の量で言えば、パナマ文書よりも多く、パラダイス文書よりも少し少ない程度です。ちょっとしたインフォグラフで説明してみましょう。そして、お近くのニュースメディアで、オフショア企業の世界で何が起こっているのかを読んでみてください。


おまけ: Ocean Tracker

SeaWorldのOcean Trackerを使って、貴重な海の生物について少し学んでみませんか。現在は、さまざまな種類のサメ、ワニ、イルカ、アザラシ、カメなどを追跡しています。

Webサイトにおける、IPアドレス直接指定によるリクエストブロックの効果(転載)


「不正アクセスの傾向分析とクラウドWAF利用時の注意点」の記事をアップしました。MBSD-SOCで観測したアラートの傾向を元に、セキュリティ対策の一環として取り得る対応や、クラウドWAFを使用する際の注意点について解説します。バックアップ

Webサイトを利用する際、FQDNでアクセス先を指定することがほとんどかと思います。
例えば、ブラウザのURL欄にwww.example.comと入力してアクセスした場合、リクエストのHostヘッダは「Host: www.example.com」となります。


一方で、例としてwww.example.comを名前解決したIPアドレスが198.51.100.1だとすると、このWebサイトにIPアドレスを直接指定してアクセスした場合、Hostヘッダが「Host: 198.51.100.1」のようになります。

また、IPアドレスを直接指定してHTTPSでアクセスした場合、証明書の検証に失敗してしまいますので、図2のようにブラウザに警告メッセージが表示されます。


よって、一般的なWebサイトであれば、サイト利用者による正規なリクエストはFQDNでのアクセスとなるはずです。

下図は、ある期間で観測したHTTP(S)リクエストによるアラートを、Hostヘッダの指定方法ごとに集計した結果です。


アラートの約3割がIPアドレスを直接指定したリクエストであるという傾向が見受けられました。

FQDN・IPアドレス直接指定の他に、Hostヘッダに攻撃文字列をセットしたリクエストも一定数観測しています。

下表は観測したアラートのうち、IPアドレス直接指定によるリクエストで検知したアラートを簡易的に分類し、集計した結果です。


最も割合の多い「特定の脆弱性を狙った攻撃」は、該当製品の使用有無に関わらず無差別的(バラマキ)に攻撃してきているケースを多く観測しています。「隠しファイルやパスへのアクセス試行」「IoTデバイスへの攻撃」にも同様の傾向があります。
(当然、事前に外部公開システムを検索できるサービスなどを使い、ターゲットを絞ってから攻撃してくるケースもあるものと想定されます。)

IPv4インターネットの世界には、ざっくり約43億個のグローバルIPアドレスがあります。
この43億という数はツールを使用することにより現実的なコスト(所要時間)でスキャンすることが可能と言われています。

IPアドレスをスイープ(総なめ)して無差別的に攻撃リクエストを投げてきたり、スキャンをかけてきたり、ボットネットの感染拡大を試行してくるという傾向は上記の集計結果からも読み取れるかと思います。

以上のことから、全ての環境に当てはまるとは限りませんが、Webアプリケーションに対するIPアドレス直接指定によるリクエストを拒否することで、不審なリクエスト(攻撃を含む)を軽減する一定の効果があると考えられます。
その他にも、以下の観点でメリットがあると考えられます。
  • IDS/IPSやWAFを運用している環境の場合、アラート確認の手間を削減できる。
  • リクエストやレスポンス処理にかかるサーバリソースの無駄な消費を軽減できる。
WebサーバやWAF・ロードバランサなどのアプライアンスでIPアドレス直接指定によるリクエストを拒否(ブロック)する設定を検討するのはいかがでしょうか?
Labels: ,

現状維持とは、退化のことである(転載)


現状維持とは、退化のことである:

神楽坂にある和食のお店に出かけました。ミシュランで13年連続3ツ星を維持し続けている、予約のなかなか取れない名店です。

インスタ映えするような、派手な盛り付けはありませんが、丁寧に下ごしらえして品のあるお料理と、丁寧な接客が、何回いってもしみじみと満足できるお気に入りのお店です。

老舗の変わらない味を伝統として守っているように見えますが、毎回新しいお料理が登場して進化しています。

今回の最後に出てきた土鍋ご飯は、牛肉が入った珍しいものでした。ひょうきんなご主人が自らテーブル前で仕上げをしてくれます。

炊き立てのご飯に生の牛肉の薄切りを入れて、かき混ぜてご飯の熱で牛肉に火を入れます。レア感の残った牛肉の味がご飯と一体になって、薄味で何杯でも食べられる絶妙な仕上がりでした。

老舗の人気店であっても、進歩や改善をやめてしまえば、お客様は離れていきます。世の中が変化して、来店客の好みが変われば現状維持は退化を意味するのです。

ソフトバンクの孫正義氏は「髪の毛が後退しているのではなく、私が前進しているのだ」という名言を残しました。

進化しているのか、退化しているのかは、自分の相対的な位置がどちらに向かっているかによって決められるものです。

世の中の変化よりも大きく動かなければ、それは相対的には退化を意味するのです。

Labels: ,

情弱者向け投資商品「ファンドラップ」バカ売れ中(転載)


ファンドラップの問題は「高コスト」だけではない:

日本経済新聞の報道によれは、金融機関に資産運用を一任するファンドラップの契約残高が、2021年6月末で12兆円となり、ここ5年間で2倍超に増えたそうです(図表も同紙から)。

紙面でも指摘されているように、ファンドラップの最大の問題は、手数料などコストが割高で、それが個人投資家に見えにくい構造になっていることです。ラップ口座自体の運営コストだけではなく、組み入れられる投資信託の信託報酬もかかり、実際の年間コストがどのくらいになるか、不透明です。

株価の堅調であれば高コストであっても値上がり益に吸収されて気にする個人投資家は少ないと思いいます。しかし、金融マーケットが調整する局面になれば、資産価格のマイナスに高い運用コストが相まって、ファンドラップを利用する個人投資家の資産はマーケットの平均よりも、更に大きく下落することになります。

高い手数料を支払っても、それに見合う運用成果が得られなければ、低コストのインデックスファンドを自分で組み合わせてアセットアロケーションする方が賢明です。

ファンドラップのもう一つの問題は、運用をお任せと言いながら、投資対象が金融資産だけに偏っていることです。

今や、プロの運用者である機関投資家も、リスク分散とリターン向上を目的に、不動産をはじめとする実物資産を運用対象に組み入れるのが常識となっています。

高いコストを払い、成果の期待しにくい金融資産だけの運用を続けても、将来のお金の不安は解消しません。

上記の話は資産運用に真剣に向き合う人にとっては当たり前のことだと思います。でも、世の中一般では、なかなか理解されていないのは、とても残念なことです。

Labels: ,

情報セキュリティに関係する基準、ガイドラインなど(転載)


情報セキュリティに関係する基準、ガイドラインなど

いつも見直すときに探し直す羽目になってしまうので情報セキュリティに関係する法規、基準、ガイドラインなどをまとめておく。

こうやってリストアップし俯瞰すると、多くは経済産業省、IPA。

基準、ガイドライン

規格、認証、フレームワーク



クラウドOSINT / Cloud OSINT + free cloud training courses & certifications(転載)

Cloud OSINT + free cloud training courses & certifications

コンピュータ技術は、小型化、シンクライアント化、プッシュプルモデルによる更新情報を提供する中央管理型のインフラへと移行し続けていますが、ひとつ確かなことは、クラウドが未来であるということです。

クラウド環境でのインシデントレスポンス、OSINTに基づく調査、クラウドベースのデジタルフォレンジックなど、この継続的な適応には、デジタル調査も適応しなければなりません。

脅威を調査したり対応したりするためには、まず環境を理解する必要があります。

サービスプロバイダーが誰であるかに関わらず、クラウドは世界中に散在する物理的および仮想的なコンピューティングリソースの組み合わせであり、デジタル「テナント」によって短期または長期的にレンタルされています。

クラウドについて学ぶことは、デジタル調査員にとって有益です。実際、クラウド・コンピューティングに関して、これほど多くの無料教育コンテンツが提供されていることはありません。

 Cloud OSINT

一般的なクラウドOSINT調査では、一般に公開されている(多くの場合、意図せずに公開されている)オンラインコンテンツに焦点が当てられ、一般にバケット(AWS、Google Cloud)やブロブ(Azure)と呼ばれるクラウドストレージリソースに展開されます。

公開されているバケットやブロブには、ビデオやMP3ファイルの再生、画像やPDFの表示など、Webサイトと同じようにオブジェクトを格納して表示することができます。

「漏れたバケツ」を検索することは、単なる調査の切り口ではなく、サイバーセキュリティの専門家や監査人がデータポリシーのギャップを見つけ、コンプライアンス違反を排除するためにも行われます。

ここでは、クラウド上で公開されているコンテンツを検索するための便利なツールをご紹介します。

  • Grey Hat Warfare - ファイル、バケット、ブロブの検索可能なデータベースです。様々なクラウドリソースをキーワードで検索できます。完全な検索結果、リスト、ファイル拡張子、その他のオプションは、有料のサブスクリプションのみで利用可能です。

  • Osint.sh Public Buckets - Amazon S3バケットとAzure blobの両方を検索します。キーワードやファイルの拡張子で検索を絞り込むことができます。

  • Digi Ninja’s Bucket Finder - オフラインツール、ダウンロードが必要です。バケット名をチェックして、その公開/非公開の設定やパーミッションをチェックします。

ウェブやオフラインのツールは便利で簡単に利用できますが、本当の意味でのチャンスや選択肢の豊富さは、Githubや、公開すべきでないクラウドリソースを列挙して特定するために作成された数多くのリポジトリにあります。

上記の資料の範囲は非常に広く、それらの資料を利用するには、ある程度深い理解と勉強が必要になるでしょう。

幸いなことに、そのような目的のための資料には事欠きません。

Labels: ,

週刊OSINT 2021-37号 / Week in OSINT #2021-37(転載)

Week in OSINT #2021-37
 

今号は、次のような話題をお届けします。

  • Why Look at the Page Source?
  • WeVerify Plugin
  • Start.me on Canada
  • IOCs on Twitter
  • Whatsmyname
  • Finding Hidden Content on LinkedIn
  • Google Alerts

Tip: なぜページソースを見るのか?

OSINT分野のハードヒッターが、Twitterで質問をしたらどうなるでしょうか?その質問が「Webページのソースコードを見るべき理由を教えてください」だったらどうでしょう。その結果、興味深いツイッターのスレッドができ、なぜそれが実りあるものになるのか、たくさんの例が出てきます。解析コード、隠れたメタデータ、タイムスタンプ、解析されたJSONデータなど、多くの発見がありました。Kirbyさん、ご質問ありがとうございました。

The #OSINT question for this week: give one reason you might look at the source code or inspect panel for a website during an investigation.

— kirbstr (@kirbstr) September 7, 2021

Link: Twitter thread

ツール: WeVerify Plugin

フェイクニュースに対抗するための最良のツールの一つが、WeVerifyプロジェクトのツールボックスです。このツールボックスはブラウザに組み込まれており、ワンクリックで画像の逆引き検索や、便利なツールを集めたメニューを表示することができます。さらに、便利な新機能が追加されたことで、さらに進化しています。

  • TwitterやFacebookからのメタデータ
  • OCRツール
  • イメージフォレンジックの強化
  • ファクトチェックサイトのGoogle検索
  • ソーシャルメディアのGoogle検索

何よりも素晴らしいのは、ツールの中に学習教材やゲームが用意されていることです。コンテンツのファクトチェックに慣れていない人は、「クラスルーム」や「デモ」を見て、スピードを上げていきましょう。ジャーナリストや研究者のみが利用できるツールもありますので、より高度な機能を利用したい方はアカウントを登録してください。Firefoxのアドオンもいつかアップデートされることを期待しましょう。

「フェイクニュースゲーム」で自分のスキルを試す

リンク: Start.me on Canada

Ritu Gillは、カナダに関する有用な情報を集めた「Start.me」のページを作成しました。国レベルのリンクだけでなく、州や地域別のリンクにも分けられています。膨大な量のリンクが掲載されており、カテゴリー別に分けられていないため少し検索する必要がありますが、必要に応じて有用なリンクの世界が広がっています。すべてのハードワークと、それをコミュニティと共有することに感謝します

カナダの情報が必要ですか?そんな時はこのサイトをご利用ください。


Tip: IOCs on Twitter

Daniel Lópezはセキュリティアナリストで、phishhunt.ioの開発者です。phishhunt.ioは、ダニエル・ロペス氏のウェブサイト、Twitter、またはGitHubのリポジトリから、Twitterで共有されているIOCを見つけることができます。

ツイッターでのIOCコレクション

彼のレポでもうひとつ興味深いのは、フィッシングキットのコレクションです。Phishhunt.ioは、アクティブなフィッシングサイトをダウンロードし、GitHubのレポに保存しています。ここにあるコレクションは本当に役に立ちます。

Link: TweetFeed

Link: Phishing kits

ツール: Whatsmyname

2015年10月にMicah Hoffmanは、ユーザー名を列挙するツールWhatsmynameを作成しました。このスクリプトは他のツールとは異なり、ウェブサイトに問い合わせをして、エラーがなければヒットするというものではありません。WebサイトやAPIにクエリを送信した後、実際にコンテンツを確認します。誤検出が減り、手作業に費やす時間も減りました。また、コミュニティのおかげで、さらに多くのサイトが追加されました。現在、300以上のウェブサイトが含まれていますが、あなたの助けが必要です。お気軽にフォームにご記入いただくか、プルリクエストを作成してサイトを追加してください。

Link: GitHub repo

Link: WhatsMyName web app

Tip: LinkedInの隠れたコンテンツを見つける

LinkedInユーザーにとっては、すべてが見えるわけではありません。なぜなら、プロフィールを見てもはっきりとは見えない情報もあるからです。しかし、古き良き時代のGoogleは、これらの隠れた情報を認識しており、Henk van EssTwitterのスレッドで示したように、人々が働く場所を検索することもできます。

LinkedInで間接的に人を検索する

また、自分のプロフィールがGoogleにインデックスされないようにしても、追加した会社の従業員として表示されてしまいます。Irina Shamaevaのサイトでは、LinkedInの便利なクエリを紹介しています。

Link: Booleanstrings

Tutorial: Google Alerts

Tracy MaleeffがGoogleアラートの作成方法について短いチュートリアルを書きました。Googleアラートは、特定のトピックに関する情報を、メールボックスやRSSフィードで簡単に収集することができるサービスです。Googleのこのサービスは2003年に開始されたもので、Googleのデータベースに新しくインデックスされたURLが「アラート」にマッチすると、アラートの作成者に通知されるというサービスを提供しています。非常に便利で、設定も簡単です。この小さなチュートリアルに感謝します。

アラートの設定 - Image by InfoSecSherpa

Link: https://link.medium.com/zboIT78fHjb

Labels: ,
登録: 投稿 (Atom)