パスワードスプレー攻撃への注意喚起 / Microsoft warns over uptick in password spraying attacks(転載)~SolarWindsのサーバーは「solarwinds123」というパスワードだった!?~


パスワードスプレー攻撃への注意喚起
Microsoft warns over uptick in password spraying attacks 

マイクロソフト社のDART(Detection and Response Team)によると、国家が支援するハッカーやサイバー犯罪者は、攻撃者にとって手間がかからず価値の高い方法である「パスワード・スプレー」を使って個人情報を狙っているとのことです。

サイバー攻撃者が探しているのは、ソフトウェアの欠陥やサプライチェーンの脆弱性、オープンなRDP接続だけではありません。ハッカーが狙うもう一つの重要な資産は、アイデンティティ、特に他の社内システムへのアクセスを可能にするアカウント情報です。

CISA(米サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)は2021年初め、SolarWinds社の攻撃の背後には、クレムリンの支援を受けたと疑われるハッカーが、ソフトウェアのアップデートをトロイの木馬化するだけでなく、初期アクセスのための管理アカウントのパスワードを推測し、パスワードを散布していたと警告しました。

最近では、イランの新興ハッキンググループが、ペルシャ湾で活動するイスラエルや米国の重要インフラのターゲットに対してパスワードスプレーを使用しているのをマイクロソフトが確認しています。

マイクロソフト社は、アカウント侵害の3分の1以上がパスワードスプレー攻撃であると推定しています。このような攻撃は、組織がマイクロソフト社の「パスワード保護」を使用して不正なパスワードを回避しない限り、アカウントに対する成功率は1%であるにもかかわらずです。

マイクロソフトは昨年、「1人のユーザーに対して多くのパスワードを試すのではなく、1つのパスワードに対して多くのユーザーを試すことで、ロックアウトや検知を回避しようとしている」と説明しました。このアプローチは、パスワードの試行に何度も失敗するとロックアウトされてしまうようなレート制限を避けるのに役立ちます。

マイクロソフト社のDART(Detection and Response Team)は、2つの主なパスワードスプレーの手法を紹介していますが、そのうちの1つを「Low and Slow」と呼んでいます。ここでは、決意を持った攻撃者が、"複数の個別のIPアドレスを使って、限られた数の呪われたパスワードを推測して、複数のアカウントを同時に攻撃する "という高度なパスワードスプレーを展開します。

もう1つの手法である「availability and reuse(可用性と再利用)」は、ダークウェブに掲載・販売されている過去に侵害された認証情報を悪用するものです。攻撃者は、「クレデンシャルスタッフィング」とも呼ばれるこの戦術を利用して、サイト間でパスワードやユーザー名を再利用することで、簡単に侵入することができます。

レガシーで安全性の低い認証プロトコルは、多要素認証を実施できないため、問題となっています。また、DARTによると、攻撃者はREST APIに注目しているとのことです。主な標的となるアプリケーションは、Exchange ActiveSync、IMAP、POP3、SMTP Auth、Exchange Autodiscoverなどです。

「最近、DARTでは、クラウドの管理者アカウントがパスワードスプレー攻撃の標的になるケースが増加している」とマイクロソフトは指摘しています。  

また、セキュリティ管理者、Exchangeサービス管理者、グローバル管理者、条件付アクセス管理者、SharePoint管理者、ヘルプデスク管理者、請求書作成管理者、ユーザー管理者、認証管理者、会社管理者などの役割に対してセキュリティコントロールを設定する際には、特に注意が必要です。マイクロソフト社によると、Cレベルの重役や、機密データにアクセスする特定の役割など、注目度の高いアイデンティティもよく狙われるそうです。

マイクロソフト社、NobeliumことSolarWinds社のハッカーたちが、主に上流の顧客から管理者権限を委譲されたマネージドサービスプロバイダーを対象に、新たなターゲットに対してパスワードスプレー攻撃を行っていると警告しました。

マイクロソフトは、Nobeliumが "サービスプロバイダーの特権アカウントを標的にして、クラウド環境を横に移動し、信頼関係を利用して下流の顧客にアクセスし、さらなる攻撃を可能にしたり、標的のシステムにアクセスしたりしていた "ことを突き止めました。

今回の攻撃は、製品のセキュリティ上の脆弱性によるものではなく、"高度なマルウェア、パスワードスプレー、サプライチェーン攻撃、トークンの盗難、APIの不正使用、スピアフィッシングなど、Nobeliumのダイナミックなツールキットを継続して使用し、ユーザーアカウントを侵害してそのアクセスを利用している "とマイクロソフトは強調しています。

DARTは、スプレー攻撃が少なくとも1つのアカウントで成功したかどうかを判断すること、どのユーザーが影響を受けたかを判断すること、管理者アカウントが侵害されたかどうかを判断することなど、調査の方針を立てるのに役立つ便利なヒントを提供しています。

週刊OSINT 2021-40号 / WEEK IN OSINT #2021-40(転載)


今号は、国際犯罪、ソーシャルエンジニアリング、書籍、ツールなどについてです。

今週もヒントやリンクの量は止まりませんでした。以前にも書きましたが、この週刊ニュースレターを3年以上書いていても、自分が共有できる新しいコンテンツの量に驚くことがあります。学ぶべきことも、共有すべきこともたくさんあります。 

今号は、次のような話題をお届けします。

  • Investigation of International Crimes
  • About Fraudsters and Social Engineering
  • OpenCorporates CLI
  • Threat Intel in SpiderFoot
  • OSINT Map
  • Advangle
  • OSINT Books
  • Hunchly and Maltego

記事:国際犯罪の捜査

Alexa Koenigが先週、60日間限定で無料公開されているジャーナルのリンクをシェアしてくれました。まだ全部は読んでいませんが、国際犯罪の捜査をしている人はぜひじっくり読んでみてください。国際犯罪の証拠を刑事司法の基準に沿って保存することや、性暴力の捜査の有効性と倫理性についての議論がなされています。認知的・技術的バイアスの問題にも触れており、eyeWitnessアプリの使用経験や法廷で使用された証拠についても取り上げています。また、国際犯罪裁判所でデジタル証拠を使用する際の課題と教訓についても書かれています。国際犯罪裁判所は、デジタル証拠に必ずしも適した法律ではありません。全体で200ページを超える大作ですが、この仕事に携わるすべての人にとって非常に重要な内容だと思います。


記事:詐欺師とソーシャルエンジニアリングについて

TwitterユーザーのIthaka32さんは、ガーディアン紙の記事を紹介してくれました。この記事では、詐欺師がオンライン上の情報を利用してソーシャルエンジニアリングを行う方法を説明しています。これは、人々が騙されて犯罪者にお金を送ってしまうという、深刻な問題です。Hilary Osborneがこの記事を書いたのはGuardianの一般読者向けであり、OSINTに詳しい私の読者向けではありませんが、私はオープンソース情報を利用することの暗黒面についての話を共有することは重要だと思います。倫理的であること、そして安全であること。それが正しいことであるだけでなく、捕まる可能性が非常に高いからです。

ツール: OpenCorporates CLI

GitHubにて、Richard Mwewa氏がOpenCorporatesの非公式コマンドラインツールを作成しました。使い方はとてもシンプルで、いくつかの基本的なオプションしかありません。会社名に関するすべての情報をダンプし、JSONにダンプすることができ、JSONファイルに書き込むこともできます。オプションが限られているにもかかわらず、他のプラットフォームやコードに組み込むことができる非常に便利な小さなツールであり、会社のデータを扱う際には、JSON形式の大きなデータが必要になります。


記事:SpiderFootに込められた脅威の情報

SpiderFootでは、Haklukedccybersecに、脅威情報リソースのトップ5を集めるよう依頼しました。世の中にはたくさんの情報がありますが、選ばれた5つのプラットフォームは私も大好きなものです。悪意のあるIPアドレスに対処しなければならない場合、豊富な情報を得ることができますし、何よりも素晴らしいことです。これらのプラットフォームのほとんどは無料、または無料のティアを提供しています。


サイト: OSINT Map

OSINTリソースを共有している最も活発なTwitterユーザーの一人、cyb_detective氏。彼は新しいツール、OSINTマップを公開しました。彼は2年間に渡って公共交通機関、企業登録、車両情報、地籍図などのリンクを集め、それらを地図上にプロットしました。多くの国が追加されていますが、まだリンクがない国もありますので、遠慮なく彼のGitHub repoに追加してください。この地図を作ってくれてありがとう、これからもがんばってね。


サイト: Advangle

今週末、Ritu Gillさんから素晴らしいヒントが共有されました。Advangleというサイトは、インタラクティブなメニューでGoogleやBingの検索クエリを作成できるオンラインツールです。2013年に構築された後、ようやく私の週刊ニュースレターにたどり着きました。見たところ、それ以来更新もされておらず、HTTPSによる安全な接続もされていない。しかし、複雑な検索クエリを書くのに少し慣れていない人や、検索結果を視覚化するのが好きな人には、このウェブサイトは必見です。条件や属性をひとつずつ追加して、問い合わせたい検索エンジンをクリックするだけ。


小技: OSINT Books

Maltegoは今月、ハッシュタグ「#OSINTOctober」でツイートを共有しており、毎日、新しいヒントやリンク、サイトが紹介されています。土曜日には、OSINTファン必読の書籍リストを紹介しました。まだまだ面白いことが起こりそうなので、彼らのツイッターに注目してみてください。


メディア:HunchlyとMaltego

Maltegoといえば、Hunchlyには、HunchlyのケースをツールにインポートできるMaltegoトランスフォームがあることをご存知でしょうか?ケースをインポートすると、キャプチャしたすべてのページ、画像、セレクタ、オブジェクトがMaltego内で使用できるようになります。これにより、キャプチャされたすべてのデータを視覚的に把握することができ、すでに収集したデータに対してトランスフォームを実行することができます。Justin Seitz氏による素晴らしいチュートリアルです。この2つのツールをお使いの方は、ぜひご覧ください。


オマケ: Shodan Fun

2019年、私は光栄にもハーグのユーロポールでOSINTとオペレーショナル・セキュリティ・フェイルについての講演を行いました。私は、人事異動から工業用ポンプまで、また、デジタル証明書の機密情報からクレデンシャルのリークまでをカバーしました。この画像は、私が講演の中で紹介した面白い例の一つで、先週、ネット上で似たようなものを見つけたときに思い出しました。皆さんに質問です。あなたが今までに見つけた最も面白いShodanのスクリーンショットは何ですか?ハッシュタグ「#ShodanFun」をつけて、Twitterでシェアしてくださいね。

サイバーセキュリティに関するグローバル動向四半期レポート(2021年4月~6月)を公開 (転載)~EC-CUBEの脆弱性特集♬~


サイバーセキュリティに関するグローバル動向四半期レポート(2021年4月~6月)を公開 | NTTデータ 
nttdata.com/jp/ja/news/inf…

この四半期におけるグローバル動向として、EC‐CUBEのクロスサイトスクリプティング脆弱性、メルカリ社に対する多段階のソフトウェア・サプライチェーン攻撃大量の身分証明書の画像の流出による社会的な影響などを取り上げています。

これらに関する事例の解説・分析や分野別動向、セキュリティに関する出来事をタイムラインにまとめて記載しました。
また、この四半期を踏まえた今後のサイバーセキュリティ動向についても予測しています。

レポート目次
1.エグゼグティブサマリー
2.注目トピック
3.情報漏えい
4.脆弱性
5.マルウェア・ランサムウェア
6.予測
7.タイムライン

「東京五輪で4.5億回のサイバー攻撃」~武漢ウイルスで盛り上がりに欠けた分、サイバー攻撃も控えめだった模様~


「東京五輪で4.5億回のサイバー攻撃」NTTらが語る大会運営の裏側  xtech.nikkei.com/atcl/nxt/colum…

「東京2020オリンピック・パラリンピック競技大会の期間中に、約4億5000万回ものサイバー攻撃とみられるシグナルを検知した。しかし攻撃をブロックするなどして、大会運営に支障を来すインシデントは発生しなかった」。

NTTのCISO(Chief Information Security Officer)は2021年10月21日、21年夏に開催された東京五輪・パラリンピック大会の舞台裏をこのように明かした。NTTグループは同大会のゴールドパートナーとして、サイバーセキュリティー対策を含む大会の運営に必要な通信サービスを提供した。

約4億5000万回という攻撃回数は、12年に英国で開催されたロンドン五輪における約2億回という攻撃回数バックアップ)の2倍以上に当たるものの、リオ五輪における大会中に発生したセキュリティイベントの総件数13億件よりは減少しているといえ、武漢ウイルスで盛り上がりに欠けたことが、幸いしたといえる。

また、リオオリンピックでは200Gbps以上のDDoS攻撃が観測されたり、18年に韓国で開催された平昌冬季五輪では、サイバー攻撃によって一部ネットワークが接続できなくなるなどの被害が出たが、こういったDDoS攻撃や実被害は出なかった。

※開会式当日の早朝に大規模ネットワーク障害が起きたものの、実はAkamaiの障害だったというオチはあった。

※他にもサイバー攻撃に限らない細かい問題はたくさん発生したようだが、詳細はコチラを参照

今回の東京五輪・パラリンピックで、このような大きな被害が起きなかった理由について、東京オリンピック・パラリンピック競技大会組織委員会テクノロジーサービス局局長は「組織委員会の立ち上げ期から、サイバーセキュリティーの専門家が内部スタッフとしてシステムを早期導入してきた。プロアクティブな対策を早期から推進できたことも重要だった」と振り返った。

東京五輪・パラリンピックのサイバーセキュリティー対策の中心となったのは、大会前の19年3月から組織委員会が運用を開始した「セキュリティオペレーションセンター(SOC)」だ。大会期間中に最終的には128人の技術者が24時間体制で、サイバー攻撃から大会運営用ネットワークなどを防御した。128人の約7割がNTTの技術者だったという。

大会関係者への攻撃は、大会が始まる1年半前から大量に発生していた。「19年11月から20年1月にかけて、IOC会長や組織委員会・事務総長になりすました不審メールを大量に観測した。さらに21年3月から6月にかけては、関係スポーツ機関のホームページ改ざんなども観測し、注意喚起をしていた」と打ち明ける。

そして大会期間中の21年7月から8月にかけては、「世界各国から(特定のIDに対してパスワードを変えながら、不正ログインを試みる)パスワードスプレー攻撃とみられる認証エラーを大量に観測した」という。このような不正攻撃の通信を大量にブロックしたり、エンドポイントを狙った攻撃に対しては端末のクリーンアップなどの対策を施したりすることで、大きな被害を発生することなく大会期間を終えたという。

佐川急便でパワハラ、30代係長が自殺 内部通報機能せず(転載)

佐川急便でパワハラ、30代係長が自殺 内部通報生かせず 「企業任せ」限界露呈
佐川急便でまたパワハラ自殺、上司が激しい叱責「お前どれだけ嘘つくんだよ」 会社は謝罪

佐川急便(本社・京都市)が東京都品川区に置く物流配送営業所の男性営業係長=当時(39)=が2021年6月、上司2人からの度重なる叱責しっせきによるパワーハラスメントなどを理由に、営業所で自殺していたことが明らかになった。同社では内部通報があったが生かせなかった。2020年6月にパワハラ対策を大企業に義務付けた法律施行後も、働く人の自殺は後を絶たない。

遺族代理人の弁護士らが2021年11月4日、厚生労働省で記者会見して公表した。

◆複数の上司が関与か 40分以上叱責も

代理人によると、男性はドライバーの管理や営業を担当。2020年6月ごろから別の課の課長らに朝礼で叱責されたほか、社内のチャットで「なめ切ってるな」「うそつき野郎はあぶりだすからな!」などのメッセージを受けた。亡くなる前日には直属の上司の課長から電話で「うそつくやつとは一緒に仕事できねえんだよ」と言われ、机の前に立たされて40分以上叱責を受けた。男性は2021年6月23日朝、勤務先の営業所から飛び降り自殺した。

◆会社は被害者に聞き取りせず

亡くなる2カ月前、男性と同じ営業所の社員を名乗る人物が匿名で2人の課長の行為が「パワーハラスメントに該当するのではないか」と内部通報していた。だが、同社の管理部門は男性本人を含む部下へ直接調査を行わず、当事者の上司らからの聞き取りのみで、パワハラを確認できないと結論付けた。代理人は「(内部通報の)窓口が機能しない典型例」と批判した。

男性の死後、佐川急便は外部の法律事務所による調査なども実施。本村正秀社長が2021年9月にパワハラの事実を認め、遺族に謝罪した。遺族側は労災の申請や損害賠償の請求などを検討している。男性の妻は「どんなに謝罪されても夫は帰ってきません。今回のことを決して風化させないでほしい」とのコメントを出した。佐川急便は本紙の取材に「再発防止に取り組む」と答えた。

◆求められる厳しい法整備

2020年6月に施行された改正労働施策総合推進法(パワハラ防止法)で大企業に相談窓口の設置など対策を義務付けている。だが、佐川急便の事例では通報を受けた調査が機能せず、企業任せの限界が露呈した。企業への罰則規定など実効性のある法整備が求められる。

パワハラについて厚生労働省は、威圧的な叱責といった精神的攻撃や身体的攻撃など6種類の該当例を示す。防止法では、パワハラ内容の周知や相談窓口設置、迅速な対応を企業に義務付けた。違反すると行政の是正指導や勧告があり、従わない場合に企業名が公表されるものの、パワハラ行為自体を禁止しておらず企業への罰則もない。


一方で職場のパワハラは後を絶たない。各地の労働局などに寄せられた相談のうち「いじめ・嫌がらせ」は2019年度まで増え続けた。20年度は7万9190件と、相談内容別で9年連続で最多を記録。近年ではトヨタ自動車や三菱電機の男性社員がパワハラを受けて自殺し、労災認定される例も相次ぐ。

トヨタなど多くの企業は相談窓口を設置していたが、自殺を防げなかった。政府は、ハラスメントを禁止する初めての国際労働機関(ILO)条約の批准に後ろ向きで、被害の防止は十分ではない。

マリオットのポイント購入ボーナスセール(2021年11月4日~2021年12月8日)

Marriott Bonvoy Buy & Gift Points 45% Bonus + 10% UnionPay Discount Through December 8, 2021

マリオットのポイント購入セールが開始。

マリオットは増量セールと割引セールがあり、今回は増量セールで、2000ポイント以上の購入で45%のボーナス。

過去のセールでの最高増量率は60%、前回のセールは増量率55%ということで、正直魅力は低い感じ。

今回1万ポイント分調達するとした際の費用感は下記となる。

前回は同じ87.5USDで10,850ポイント獲得できたので、なんか損した感じ。


日本円に換算すると↓の感じ


前回と比べると円安で為替レート的にも損する感じ。

現時点、武漢ウイルス蔓延の影響が継続しており、マイル消化の目途は立たないし、ポイント失効防止の観点でも先月買ったばかりなので、今回は見送りだな。

もし購入する場合、、TopCashback経由で購入すると若干のキャッシュバックが受けられます(キャッシュバックはpaypalでの受け取りだけど。)

ECシステムへ不正アクセス、顧客情報流出の可能性 - 杏林堂薬局


【限定】杏林堂オンラインショップからのカード情報漏えい(オムニEC):
利用ECシステムへ不正アクセス、顧客情報流出の可能性 - 杏林堂薬局         

ツルハホールディングス傘下でドラッグストアチェーンを展開する杏林堂薬局は、外部サービスで運用していたオンラインショップが不正アクセスを受け、顧客情報やクレジットカード情報が外部に流出した可能性があることを明らかにした。

同社によれば、「杏林堂オンラインショップ」においてデータベース内の個人情報6882件が流出したり、入力されたクレジットカード情報322件を窃取され、不正に利用された可能性があることがわかったもの。

同サイトは、東芝テックを通じて導入していたジーアールの「オムニECシステム」で運用していたが、9月3日に同じシステムを利用する他事業者においてクレジットカード情報が流出した可能性があることが判明。調査の結果、同社サイトも同様の影響を受けたことが明らかとなった。

3月23日に不正な注文操作によりウェブ上で動作する不正なプログラムを設置され、同月25日よりアクセスが行われていたという。

同サイトの決済アプリケーションを改ざんされたことにより、2021年3月25日から8月19日にかけてクレジットカード決済を利用した顧客のクレジットカードに関する名義、番号、有効期限、セキュリティコードなど322件を窃取された可能性がある。

プレスリリースバックアップ

裏垢特定の考察と防御について(転載)


素晴らしい、偉い、神、優良記事 裏垢特定の考察と防御について
devblog.lac.co.jp/entry/20211101バックアップ

今回は裏垢特定について考察し、防御方法を提案します。

※注意※
弊社では以下の本記事のような卑劣で最低な下衆極まりない 裏垢特定 行為は一切行っておりません。

採用活動における裏垢特定

巷では就活生のSNSの裏垢を特定するサービスがあるという。

では、筆者なりにやるとしたらと仮定しての手法を考えてみました。9999999%想像です。
もっといい方法あるよ、うちではこんな方法でやってるよというご意見があれば是非教えてください。

条件

エントリーシートが手元にあること

考えられる手法

  1. メールアドレスがtwitterIdと同一のものがあるか調べる 疑わしいIDが存在した場合、パスワードリセット画面に遷移し、メールアドレスの最初の2文字とドメインの文字数が一致してるか、もしくは電話番号の下2桁が一致しているか。

  2. ダークウェブ等で様々なウェブサービスから今までに漏洩したメールアドレス情報に対して検索をかけ、目的のメールアドレスが出てくるか。 そして、パスワードなどの情報も一緒に出てくれば、今度は同一のパスワードを設定していてかつ異なるメールアドレスがあるか。 そのメールアドレスに紐づいて再び1,2を行う。

  3. 1,2がダメだった場合、提出された書類などの限られた情報の中から、ダークウェブや、(gmailアドレス、またはgoogleWorkspaceを利用している組織の場合)hangOut等 でメールアドレスを走査、 該当していそうなメールアドレスがあれば、1,2を行う。

  4. 本名でやってるSNSのID(URLにある)と共通した他のSNSのID、メールアドレスの存在を調べる。
などの方法が考えられるでしょうか。 3の方法はしたくないですね。無限の時間が必要です。

では、そのアカウントが本人かどうかという根拠はなんでしょうか

根拠となりそうな情報

  1. アップしてる写真から推測

  2. 言動、プロフィールから推測(生年月日、取得資格など)

  3. 通っている大学のアカウントをフォローしている。もしくは、周りの人間が大学のアカウントをフォローしている。
以上から頑張って総合的に判断する。ということが推測されます。
(※いくら合致していても推測の域から出ることはできない)

考え得る防御策

  1. 就活のアドレスは別垢でやりましょう。

  2. パスワードの使いまわしはやめましょう。

  3. プライベートのことを書き込むのは調査側にとって都合が良いので控えましょう。

  4. 鍵垢にしようとも、@twitterIdで検索をかけられた場合に、鍵をしていない相手からの返信内容は筒抜けなので解決になっていません。

  5. twitterの設定で隠す。パスワードリセット時に登録したメールアドレスが求められるようになります。

本記事を御覧下さったみなさん、本記事は筆者の推測となっております。悪しからず。

OSINTについての日々の執筆 - Cyber Detectiveへのインタビュー / Writing about OSINT daily – interview with Cyber Detective

Writing about OSINT daily – interview with Cyber Detective

今日は特別なものをお届けします。情熱的で、非常に多作で、細心の注意を払ってOSINTコミュニティに定期的に貢献している人物、Cyber Detectiveへのインタビューです。

このゲストは、様々なOSINTツールに関するツイートを毎日発信し、有用なトレードクラフトのヒントを比類のない定期性と品質で共有しており、真の意味でのフォロワーの雪崩を起こしています。

このインタビューを読む以外にも、OSINTツールの詳細なリスト(バックアップ)をチェックする必要があります。このリストは詳細なカテゴリーに分類され、定期的に更新されています。

優れた捜査官になるためには、まず、無料の記事や教科書、OSINTツールキットを活用しながら、少なくともいくつかの複雑で真剣な捜査を行ってみるべきです。膨大な量の情報が公開されているのだから。

 こんにちは、イワンさん、お元気ですか?

皆さん、こんにちは。元気にやっていますが、ひとつはっきりさせておきたいことがあります。私の名前はイリーナです。

私は通常、匿名のネットワークアカウントを登録する際に「Ivan Ivanov」という名前を使っていますが、これは非常に一般的なロシア語の名前だからです(「John Smith」や「Amit Kumar」のようなものです)。

自己紹介や仕事内容はどのようにしていますか?

Twitterのアカウントを使うときは、自分の正体を明かさないようにしています。

私がしていることは、OSINTに興味を持っている人たちが何か新しいものを見つけたり、刺激を受けたり、時には職業上の活動に役立つものを見つけることができるようなツイッターを毎日投稿することです。

私のツイートは、私立探偵、調査ジャーナリスト、OSINTツールの開発者、そして現代のテクノロジー全般に興味があり、OSINTについてもう少し知りたいと思っている人たちにとって便利なものかもしれません。

OSINTを始めたきっかけは何ですか?

2000年代半ば頃、私がまだ学校に通っていた若い女の子だった頃に始まったと思います。当時、私はインターネットにアクセスできるようになったばかりで、何時間もサイトのカタログ(例えば、apport.ruのカタログ)を見て、何か面白いものはないかと探していました。

そして、nomer.orgというサイト(ロシアの主要都市の電話データベース、90年代以降は更新されていない)に出会いました。そこには、私の祖母、祖父、兄、父の姿がありました...。

私は嬉しくて、そのサイトをブックマークに追加し、このような知識ベースがもっとあるのではないかと徐々に思い始めました。そして、ロシアのハッカーフォーラムから電話帳をダウンロードするようになりました......そこからは、何となく勝手に進んでいった感じです。

どのような経験をお持ちですか?

私は、ジャーナリズムの仕事の中でOSINTを使用してきました(趣味やパートタイムの仕事と言ってもいいかもしれませんが)。また、ビジネス上の連絡先を探したり、新しい知り合いの評判を調べたり、ソーシャルネットワーク上の人々のつながりを調べたりするなど、自分自身や身近な人々のために様々な個人的な問題を解決するためにも、定期的にこのスキルを使っています。

書く内容はどうやって見つけますか?

仕事の課題を解決するためのツールを探さなければならないことがあります。それを見つけて、それについて話すこともあります。

また、ニュースやソーシャルメディアのフィードを読んでいて、面白いものを見つけることもあります。

また、座っているときにふと思いつくこともあります。「誰かがすでにサービスを作っているのではないか」と考え、それを見つけるのです。例えば、サメやカメ、ワニを追跡するための地図がそうでした。

また、時間があるときには、GithubやChrome Web Storeなど、アプリやアドオンを投稿するサイトを無造作に見て、OSINTに役立つものを見つけようとすることもあります。

そしてもちろん、読者の方から定期的に質問をいただき、そこからツイートのアイデア(時にはスレッド全体)を得ています。

例えば、今日はDrishtiのツールキットでこんなことがありました。とか。

自分が扱っているツールや方法はすべて試してテストしているのですか?

リストを除いて、ツールについてのツイートには、そのツールがどのようにテストされ、何が得られたかを示すスクリーンショットを添付しています。

正直なところ、ツールのすべての機能を常にテストしているわけではありません。でも、少なくともいくつかの機能が動作すれば、それだけで十分に話題になります。

Cyber Detectiveはどのような思いで作られたのですか?

このプロジェクトの主要なアイデアは、OSINT用ツールの独立した開発者をサポートすることです。

Githubなどには、動作する、よくできた、便利な調査用ツールがたくさんありますが、そのリポジトリは10個の星か、それ以下であることが多いのです。Githubなどにはプロジェクトを宣伝する仕組みがなく、制作者はソーシャルネットワークで宣伝したくないと思っていることが多いのです。あるいは、その方法がわからないのです。

私は、開発されたすべてのツールが、たとえ品質の低いものであっても、ユーザーを見つけ、開発者が適切なフィードバックを得られることを願っています。

独立系の開発者が自分のツールのユーザーを見つけるためにはどうしたらいいと思いますか?

私は定期的にGithubの最新のリポジトリをチェックしていますが、私の時間のほとんどは、設計が不十分で未完成のプロジェクト(何をするのか、どうやってインストールするのか、どうやって実行するのかが不明)を拒否することに費やされています。

私はすべてのOSINTツール開発者に以下のことをアドバイスします。

- そのツールがどのように動作するかを示す写真付きの優れたREADMEファイルを含めること。

- Windows、Linux、Macにツールをインストールする方法をREADMEで説明する。

- ツールが何をするのかをREADMEに明記し、正しいタグを含めること。

- ツールのヘルプ機能を記述する(-h)

この段階で、100人中95人がGithubに載せたものよりも、(コードの質に関わらず)すでにプロジェクトがかっこよくなっています。そして、ユーザーがStackoverflowで検索しなくてもツールが動くようになれば、開発者は本当のヒーローであり、スーパースターです:-)

とはいえ、Github上のプロジェクトが自動的に宣伝されるとは思わないでください。さまざまなソーシャルネットワークでリンクを公開するのが確実です。別の方法としては、Twitterにアカウントを作成し、様々な技術系ブロガーに連絡を取り、あなたのプロジェクトについて話してくれるようお願いしてみましょう。

たとえそのツールがユニークで実際に役立つものであっても、アプリケーションやツールを宣伝して収益化することは、非常に困難で時間のかかる仕事であることを覚えておくとよいでしょう。特に、開発者がお金をかけていない場合はなおさらです。

お気に入りのOSINTツール/テクニックとその理由を教えてください。

地理的に配置されたビデオ、写真、ソーシャルメディアの投稿を表示するさまざまなマップがとても好きです。今、このカテゴリーでお気に入りのツールは「Skylens」です。

ソーシャルメディアのアカウントを持っておらず、自分自身の情報をオンラインで公開していない人でも、自宅や職場の住所が同僚や友人、親戚、隣人のプロフィールに記載されていることがあります。調査対象に関する情報が雪崩のように出てくることがあるのです。

現在、OSINTトレーニングを提供するコースやプラットフォームは数多くあります。非常に高価なものもあります。それらについてどう思われますか?

SANSのコース(6日間で7,000ドル以上)やBellingcatのワークショップ(16時間で800ユーロ)の価格を見ると、いつか自分でコースを作って教え始め、アパートやヨット、ジェット機を買うことを想像してしまいます......。

しかし、真面目な話、良い調査員になるためには、まず、無料の記事や教科書、OSINTツールキットを利用しながら、少なくともいくつかの複雑で深刻な調査を行ってみるべきだと思います。膨大な量の情報が公開されているのだから、そのために急いでお金を払うべきではない。

しかし、仕事のために認証が必要ならば、コースは意味があります。

また、OSINT用のさまざまなオープンソース・ツールを実行したり設定したりするのに役立つ技術を時間をかけて学ぶことをお勧めします。たとえば、Python、Javascript、Node.js、データベースとSQL、正規表現、Linuxコマンドラインの基本コマンド、Gitなどです。

OSINTにおける生産性を飛躍的に向上させるためには、上述の6つのトピックのそれぞれに2~4時間を割くとよいでしょう。

OSINTの分野でキャリアを積みたい人にとって、認定資格は必要だと思いますか?

資格取得のためにお金を払う前に、応募しようとしている会社に手紙を書いて聞いてみるといいでしょう。私の経験では、正式な資格を必要とする企業はほとんどありません。

また、OSINTサービス市場はまだ始まったばかりで、「OSINTスペシャリスト」と呼ばれる高給取りの仕事はそれほど多くありません。OSINTの能力は良い仕事を見つけるのに役立ちますが、それは他のスキルと組み合わせた場合に限られます(ただし、近い将来、状況は劇的に変わるかもしれません)。

ジャーナリスト、科学者、警察官、人事管理者、ペンテスト、サイバー・セキュリティ・スペシャリスト、私立探偵など。

また、ロシアのOSINTスペシャリストの求人市場はどうなっているのでしょうか?

私はこの質問に1枚の写真で答えよう。ロシアで最大の求人サイトの1つのスクリーンショットである。


比較のために、Pythonのスキルを必要とする求人は6693件あります。

OSINTスペシャリストの仕事はほとんどありません。それに、私が見たことのある仕事は(多くの場合、このテーマに特化したTelegramチャンネルで)、あまり高給ではありませんでした(毎月500~1000ドル)。どの提案も私には面白いとは思えませんでした。

しかし、もう一度言いますが、OSINTを勉強するのは、仕事を得るためではなく、自分の主な専門分野でより良い結果を出すためです。

お金といえば。Twitterのアカウントをどうにかして収益化しようと考えていますか?

私はプランナーというよりは、夢想家です。

今はまだ視聴者数が少なすぎて考えられません。ときどき、何万人ものフォロワーを持つようになったときのことを想像してみるのですが、その見通しはあまり明るいものではありません。

例えば、Twitterの読者をMediumの自分のアカウントに連れてきて、閲覧数に応じてお金を受け取ることはできません。なぜなら、ロシアはアフィリエイトプログラムの対象国ではないからです。

Githubでのスポンサーシップについても同様の状況です。ロシアではStripeの決済システムがサポートされていないため、この機能は利用できません。

さらに、ロシアでは小切手を現金化したり、Payoneer銀行カードを開設することはできません(昨年からは、そこからロシアの銀行口座への送金のみ)。

他のプラットフォームでも、お金を稼いだり引き出したりする際に同様の問題があります。

読者から寄付を募ることを考えたことはありますか?

それはかなり無意味なことだと思います。18,000人のフォロワーを持つ@sector035でさえ、BuyMeaCoffeeのサポーターは9人しかいません。

そして、WHIIspectorには2人しかいません。

だから、何か商品やサービスを売ることが唯一の望みだと思います。

あなたのプロフィールに、以前のTwitterアカウントが閉鎖されたと書かれていました。何があったのですか?

2021年8月11日のある日、私はツイッターで自分のフィードにあるツイートに「いいね!」を押していました。すると突然、その行為が禁止されているという通知が来たのです。それは、私のアカウントが突然ブロックされたということでした。

テクニカルサポートに問い合わせましたが、ブロックされた理由は教えてもらえませんでした。さらに、新しいアカウントを作ることも禁止されていて、それもブロックされる可能性があると書かれていました。

それでも私は、新しいアカウントを作って、もう一度視聴者を増やしてみようと思いました。8月11日、旧アカウントのフォロワー数は1,912人でした。今日、新しいアカウントのフォロワーは3,500人を超えました。でも、いつでもゼロからやり直せるようにしておかなければならないと思っています。

アカウント停止の理由については、想像するしかありません。でも、OSINTのアカウントがブロックされたのは私だけではありません。例えば、Ben H(新アカウント@Techjournalisto)にも同じようなことが起こり、3,000人以上のフォロワーを失いました。

ロシア関連のOSINTのコツはありますか?

もちろん、たくさんありますよ。ただ、私にはロシア語を話すフォロワーがあまりいないので、それらについて書くことはほとんどありませんが。

「ロシアのOSINT」の主なトリックは、多数のテレグラムボットを使って、政府関係者、法執行官、交通警察(車検)職員、携帯電話ショップの販売員などがネットワーク上に不正に流出させたデータベースを使って、住所、電話番号(Nomerでも検索可能)、車、人物などの情報を検索することです。

ロシアでは、個人情報の漏洩に対する罰則が非常に軽い(個人への罰金は300〜500ドル)ため、様々な公的データベースの販売は、金儲けの手段として非常にポピュラーなものとなっている。

また、流出したデータベースが掲載されているロシアのTelegramチャンネルを見てみるのもいいでしょう。例えば、私はこれが好きです(https://t.me/leaks_db)。そこでは、個々の都市や企業に関する興味深いデータベースを見つけることができます。

ロシア出身の特定の人物に関する情報を確認するためにデータベースのリストを選択する際には、何千万人ものロシアの住民が、今は亡きソビエト連邦の他の国で生活した経験があることを覚えておくとよいでしょう。

ロシア出身の人物に関する情報を探す際には、ベラルーシ、ウクライナ、カザフのOSINTリソースも利用すべきです。

もちろん、ロシア人の情報を探すためには、VK.com、Odnoklassniki、Mail.ru、Yandex.ruなどのポータルでOSINTの可能性を深く探る必要があります(後者については、例えば、YaSeekerというツールがあり、IDによってさまざまなYandexサービスのアカウントへのリンクの完全なリストが得られます)。

上記のTelegramボットに興味がある方は、こちらでいくつかのボットを見つけることができます: https://t.me/howtofindbot

あなたはTelegramについてよく言及していますね。あれは本当に匿名のメッセンジャーだと思いますか?

不特定多数の人にハッキングされないように通信を保護するという観点から見れば、おそらくそうでしょうね。

しかし、何らかの犯罪にTelegramを利用したいと考えているのであれば、Telegramに頼るべきではありません。

国家保安機関は、テレグラムの違法行為を行っている人々を定期的に特定し、逮捕しています。ロシアに限らず、世界中で。

この分野には、ロシア出身の才能ある優秀な人材がたくさんいます。しかし、ロシアのAPTグループやハッカー、政府の行動によって、彼らの多くが同じような目で見られているように感じることがあります。これにはどう対処していますか?

ロシアのハッカーの悪評が私の生活に影響しているとは感じていません。また、これまでは、ロシアのハッカーが特に悪い評判を受けているとは思っていませんでした。

そう、ロシアのハッカーは一般的にロシア国内のターゲットを攻撃しないからです。しかし、たとえばアメリカやヨーロッパでのランサムウェアの攻撃は?誰かに「あなたはロシア人だからハッカーだろう」とか「ITに詳しいロシア人はみんなサイバー犯罪者だ」などと言われませんでしたか?

いいえ、誰にもそんなことを言われたことはありませんでしたし、あなたに質問される前には、このことが問題になるとは考えたこともありませんでした。

ロシアではデジタル・プライバシーを維持するのは難しいのでしょうか?

これは、生まれたときから両親に地下室に隠されていて、パスポートや個人納税者の携帯電話番号などを持っていない子供には可能です。

あなたが、自分たちが属するシステムのルールに従う普通の人であれば、次のようなことになります。

- あなたのパスポート情報、犯罪記録、電話記録、携帯電話番号が、ソーシャルネットワーク、電車の乗り方、飛行機の乗り方、個人の財産などに結びついているのです。これらの記録は、50~100ドル(10ドルで十分な場合もある)を払えば、誰でも入手できる。

- インターネット上でのあなたの行動や電話での会話はすべて、SORM(System for Operative Investigative Activities)というシステムの厳格な管理下にあり、諜報部員が調べようと思えば、完全に透明な状態で見ることができます。

このような制限を回避してプライバシーを確保するには、法律に違反するしかありません。つまり、違法に購入したSIMカードや携帯電話を使用したり、自分のWi-Fiホットスポットではなく、危険なWi-Fiホットスポットを使用したりすることである。)

ロシアのターゲットに対してOSINTを行うが、言葉を話せない人にアドバイスはありますか?

Telegramをインストールして、@HowToFindBot(https://t.me/howtofindbot)を起動してください。そこには、ロシア人の情報を英語の説明文で探すサービスがたくさんあります。

週刊OSINT 2021-39号 / WEEK IN OSINT #2021-39(転載)

 

Week in OSINT #2021-39

今回の週刊OSINTは、さまざまなトピックで埋め尽くされています。ヒントやトリックから、ICIJによる金融データの新しいダンプまで!

  • OSINT News Sheet
  • Verify Gmail Addresses
  • Links for Datahoarders
  • Views on Verification #2
  • URL Manipulation
  • Pandora Papers
リンク: OSINT News Sheet

TwitterでBen Heublを見逃してしまった方、その通りです。彼が国外に引っ越した後、Twitterのアルゴリズムによってアカウントがブロックされたのですが、別のアカウントでオンラインに戻ってきました。@Techjournalistoです。ベンは、Max BernhardJordan WildonTom JarvisBrecht Castelとともに、オープンソースを使って記事を検証・調査したニュース記事を集め、そのリンクをGoogleシートに保存しています。ニュース記事の調査、論破、検証にどのようなテクニックが使われているかを見てみましょう。



小技: Verify Gmail Addresses

TwitterユーザーのOdint - OSINTは、先週、ちょっとした小技をTwitterで披露しました。例えば、たくさんのメールアドレスを列挙して、どれが本物かどうかをチェックしたいとします。それをGoogleシートにまとめ、マウスカーソルを合わせるだけで、どれが有効か無効かを見分けることができるのです。アバターが標準の「Googleブルー」のものと違っていて、チャットオプションが有効になっていれば、それは有効なメールアドレスのようです。Google Sheetsによる便利な小機能です。ナイスな発見!ありがとうございます。




タイトルは "awesome open directories "ですが、実際にはデータを溜め込んでいる人や、公開されているデータを利用したいと思っている調査員のためのリソースのリストです。また、FileChefのように、Google Docs内の公文書を検索するためのGoogle CSEを提供するツールもあります。リンク、サブレディット、ウェブサイトの本当に素晴らしいコレクションです。David Chorváthさん、シェアしてくれてありがとうございます。



以前、検証に関するJordan Wildonの小さなTwitterスレッドを紹介しました。彼はその脅威を拡大し、Logicallyに記事を書いてくれました。すでにシェアされていたにもかかわらず、私は再び彼の意見を紹介します。なぜなら、1つのRedditの投稿、1つのツイート、あるいは適切に検証されていない内容のYouTubeビデオによって、罪のない人々の生活が破壊される可能性があることを心に留めておくことが何よりも重要だからです。


チュートリアル: URL Manipulation

Twitterでosintmeとして知られているMaciej Makowski氏が、URL操作と呼ばれるものについて、ちょっとした紹介をしています。これは、興味のあるページを見つけたり、普通の人には隠されているものを見つけたりするための、ペンタリストには珍しくないテクニックです。この記事では、アバターの大きな画像を見つけたり、興味深いサブドメインを見つけたり、インデックスに登録されていないコンテンツを見つけたりするためのテクニックを紹介しています。また、2018年に書いたこの記事や、今は亡きJiraのオープンAPIについての古い記事では、ほぼ同じテクニックが使われていますので、実際に使ってみてください。オープンな情報」を見つけることと、ウェブサイトの設定に実際のバグがあることを見つけることの間には細い線があるので、倫理的で責任ある行動を心がけましょう。

記事: Pandora Papers

国際調査報道ジャーナリスト連合(ICIJ)は、600人のレポーターとともに、数ヶ月にわたって新しいプロジェクトに取り組んできました。タックスヘイブンに関する約1,200万件のリーク文書を調査し、地球上の有力者や企業による財務上の不正行為に新たな光を当てました。デンマークの銀行が外国のお金を隠していたり、中国の政治家がたくさんのオフショア企業を持っていたり。そして、それは大規模なものです。文書の量で言えば、パナマ文書よりも多く、パラダイス文書よりも少し少ない程度です。ちょっとしたインフォグラフで説明してみましょう。そして、お近くのニュースメディアで、オフショア企業の世界で何が起こっているのかを読んでみてください。


おまけ: Ocean Tracker

SeaWorldのOcean Trackerを使って、貴重な海の生物について少し学んでみませんか。現在は、さまざまな種類のサメ、ワニ、イルカ、アザラシ、カメなどを追跡しています。