Excelがない環境下でCSVを読むのに重宝するツール【Timeline Exproler】

Timeline Explorerはデジタルフォレンジック検査に特化した、無料の機能豊富なExcel代替ソフトです。分析を行う際にExcel/CSV出力で生活しているすべてのアナリストのために考慮する価値のあるExcel上の生活の質の機能のほんの一握りがあります。Timeline ExplorerはGUIのみのツールなので、このガイドで扱うのはそれだけです。

このガイドのいくつかの例では、Lone Wolf 2018 シナリオに対して実行された KAPE からの出力を使用しています。2020年12月現在、KAPEの出力は、このEZ Toolsガイドのために私がまとめたGitHubリポジトリから取得することができます。GitHubリポジトリは、こちらからご覧いただけます。

このガイドはTimeline Explorerを初めて使う方を対象に作成されています。このガイドの主な目的は、Timeline Explorerのような新しいツールを試してみることの怖さを取り除くことです。Timeline Explorerを活用する、より高度な方法もありますが、このガイドでは取り上げません。

また、Excelは非常に快適なユビキタスツールであり、多くのユースケースで「一長一短」の役割を果たし、仕事をこなすことができることも理解しています。しかし、このガイドは、Timeline Explorerが提供できる利点を知ってもらうことを目的としています。最終的には個人の好みの問題ですが、このガイドはあなたが情報に基づいた決定をし、視野を広げるのに役立ちます。

ダウンロードリンク: Eric Zimmerman’s GitHub

Timeline Explorerの使い方を説明する前に、なぜTimeline Explorerを使う必要があるのかを理解する必要があります。ありがたいことに、以下のガイドはビジュアルエイドと説明でWHYとHOWの両方をカバーするようにデザインされています。Timeline ExplorerはKAPEを使用しているアナリストを完璧に補完することができます。KAPEからのCSV出力をTimeline Explorerに取り込み、簡単に分析する事ができます。

ここでは、個人的に日々の分析に役立つと感じたTimeline Explorerの機能を紹介します。

ダークモード

これは個人的な好みですが、私はダークモードが利用できるときはいつでも大歓迎です。Office 2019 Black（私の好み）以外にも選択肢はありますが、その選択肢があるのはありがたいことです。

インスタント・フィルタリング

Excelでは、フィルタのオプションを選択しても、結果が表示されません。Excelでは、選択してからOKを押さないと、結果が目の前に表示されません。Timeline Explorerでは下記のようにリアルタイムでフィルターをかけることができるので、とても便利な機能です。

また、フィルタリング中にドラッグして連続した複数の項目を選択し、スペースバーを押すと一気に選択することができますよ。これは偶然知ったのですが、ここにそのためのGIFを追加することにしました。

列ヘッダーのコンテキストメニュー

列のヘッダーを右クリックすると、以下のような多くのオプションを利用することができます。昇順・降順のソート、ベストフィット（すべての列）

カラムチューザー

列が多すぎる？いくつかの列を削除したり、表示されていない列を確認したいですか？
列選択ツールで列をダブルクリックすると、スプレッドシート内の元の位置に戻すことができます。また、列選択ボックスから手動で列のヘッダーをスプレッドシート内の所定の位置にドラッグすることもできます。

複雑なフィルタリング

複雑なフィルタを作成するのはとても簡単で、それをクリアするのはさらに簡単です。左下で、AKMonitor.exe (キーロガー)を見つけるために、Timeline Explorer内で複数のフィルター変数を作成する様子をご覧ください。また、複雑なフィルタの1つの要素、またはフィルタ全体を一度にクリアする方法も紹介します。各ステップでのもう一つの注目点は、右下の「表示可能なライン」がフィルタを追加するたびに変化するところです。

例えば、すべての.docx, .pptx, .pdfファイルに対してフィルタリングを行いたい場合は、以下のデモを参照して、使用するケースに合わせて調整してください。以下の例では、フィルタを適用した後に値データ2でソートしているので、これらのファイルタイプが最後に開かれた時刻で効果的にソートできていることがわかります。注：ANDからORに変更した場合、下のフィルターにどのような影響があるか、またANDでは結果が出ないことに注意してください。同じ行に3つのクエリを含むエントリーはありません。

また、以下のようにフィルターを手動で調整することも可能です。

もう一つ注目すべきは、列のヘッダーからフィルタリングする場合と、「フィルタの編集」メニューからフィルタリングする場合のオプションの違いです。

フィルタリングに関して最後に強調しておきたいのは、複雑なフィルタを設定しても、下のチェックを外すことで一時的にそのフィルタを無効にできることです。これは、何か悪いものを見つけたときに、一時的にフィルターを無効にして、タイムスタンプ列でソートしたときにその前後に発生する他のものを確認するのに便利です。

タブ表示

KAPEを実行したエンドポイントで分析を行う場合、私は通常、関連するすべてのCSV出力ファイルを取り、そのエンドポイント用のTimeline Explorerの1つのインスタンスに放り込みます。出力はエンドポイントフォルダ内にネストされていることが多いので、左下隅にあるファイルパスを見れば、特定のエンドポイントに関連するTimeline Explorerのインスタンスを簡単に見分けることができます（例： C:\UsersAndrewDesktop\2019 Lone Wolf Scenario
下の例では、FileFolderAccessのKAPE出力フォルダからすべてのファイルをドラッグ＆ドロップしているのがわかります。これには、JLECmd、LECmd、SBECmdからの出力が含まれます。

タブ管理

バージョン1.1.0.0の新機能 - 検索バーは、以下の例のようにMFTを探している場合、MFTが入力されるとどのような結果が表示されるか、コンテナ検索のように動作します。

週刊OSINT 2021-49号 / WEEK IN OSINT #2021-49（転載）

WEEK IN OSINT #2021-49

フィッシング、人権侵害、ソックパペットなど、OSINTニュースでいっぱいの月曜日です。

サムネ画像は目が壊れそうなバナーの塊です。

今週の概要はこんな感じです。

OSINT on Phishing Campaigns
Bayanat
Ocelli Project
Sock Puppetry
Save TikTok Video

記事: OSINT on Phishing Campaigns

Maciej Makowskiは、悪意のあるサイトを調査する際に生じるあらゆる側面について、優れた記事を書いています。この場合、さまざまなブランドに対する大規模なフィッシング・キャンペーンが対象になっています。Maciejは、豊富なリソース、リソースに関するヒント、ピボットポイントを共有しており、この分野の調査を始めたばかりで、どこから始めればよいかのヒントが必要な人にとっては、絶対必要なものです。

ツール: Bayanat

Roger Lu Phillipsから、SJAC（Syria Justice and Accountability Centre）がBayanatという新しいオープンソースのドキュメント作成ツールをリリースしたという情報を得ました。これは、人権侵害の事件、場所、時間、人物、団体を処理し、記録されたすべてのデータを関連付けるデータ管理ソリューションです。

GitHub: https://github.com/sjacorg/bayanat

サイト: Ocelli Project

ベンジャミン・ストリックは、すでに数年前からミャンマーの不正と戦っており、ボランティアチームとともに、ミャンマーのラカイン州における大規模な建物破壊の情報を収集してきました。そして今回、C4ADSと提携し、これらの情報をすべて可視化することに成功しました。ミャンマーがこれまで疑惑を否定していることも考慮すると、これらの情報は貴重なものです。この訴訟について詳しく知りたい方は、CIJの公式ページか、こちらでご覧ください。

小技: Sock Puppetry

そしてまた、我らが「cyb探偵」によるTwitter上の巨大なスレッドがあります。今回はソックパペットに関するヒントがぎっしり詰まっています。このスレッドでは、人と交流するためのヒントも紹介されているので、場所によっては、必ずしも合法的とはいえないことに注意してください。このスレッドも、まだ読んでいないなら、ぜひ読んでみてください。

小技: Save TikTok Video

ここ数年、TikTokのTipsやToolをいくつか紹介してきました。今年の初めには、動画を手動で保存する方法も紹介しました。しかし、ちょっとしたGreaseMonkeyやTamperMonkeyのスクリプトを使うと、もっと簡単にできることをご存知ですか？単にストアでスクリプトのいずれかをインストールし、保存したいTikTokのビデオを訪問し、右クリックし、それをまっすぐに保存します。

警視庁区営住宅の申し込み者情報記録フロッピーディスク紛失（転載）～再発防止よりもフロッピーディスクをいまだに使っている点を問題視してほしい（笑）～

フロッピー？！！？！？！？ https://t.co/stdrXZTzk9 Quoted tweet from @nhk_news: 警視庁区営住宅の申し込み者情報記録フロッピーディスク紛失 #nhk_news www3.nhk.or.jp/news/html/2021…:

Quoted tweet from @nhk_news:

警視庁区営住宅の申し込み者情報記録フロッピーディスク紛失 #nhk_news www3.nhk.or.jp/news/html/2021…

暴力団を排除する目的で警視庁が区役所から預かった、区営住宅の申し込み者38人分の情報が記録されたフロッピーディスクがなくなっていたことが分かりました。個人情報の流出などは今のところ確認されていないということです。

なくなっていたのは、東京目黒区の区営住宅の申し込み者38人分の氏名や性別、生年月日が記録されたフロッピーディスク2枚です。

警視庁は目黒区と暴力団の排除に関する協定を結んでいて、その一環として区営住宅の申し込み者の情報が記録されたフロッピーディスクを一定期間預かり、暴力団関係者が含まれていないかどうか確認しているということです。

警視庁によりますと、今回なくなったディスクは2019年12月と2021年2月に預かったもので、いずれも鍵のかかる収納庫に保管されていました。

しかし2021年12月、区から返却を求められた際に収納庫を確認したところ、保管されているはずの場所にディスクがなかったということです。

調査したものの、紛失した原因は分からないとしています。

個人情報の流出などは今のところ確認されていないということで、警視庁は「情報が記載されていた方々に対して心からおわび申し上げます。個人情報の取り扱いについては今後も指導を徹底し、再発防止に努めたい」とコメントしています。

JALグローバルクラブ会員向けオリジナルカレンダーが卓上版のみに（転載）

JALグローバルクラブ会員向けJALオリジナルダイアリーが終了、JALオリジナルカレンダーのサービスが変更:

2022年以降、JALグローバルクラブ会員向けのJALオリジナルダイアリーとJALオリジナルカレンダーのサービスが変更となる。

JGC本会員に届けていたJALオリジナルダイアリーは2022年版をもってサービスを終了する。

また、2023年版カレンダーは「JAL FLEETカレンダー（卓上版）」のみとなる。カレンダーが不要の場合は「カレンダー不要」を選択する事で郵送されない。ただし、カレンダー不要を選択してもe JALポイントの積算はない。

JALオリジナルダイアリーとJALオリジナルカレンダーの変更について

2021年11月16日～30日サイバー攻撃のタイムライン / 16-30 November 2021 Cyber Attacks Timeline（転載）

16-30 November 2021 Cyber Attacks Timeline:

2021年11月の2回目のサイバー攻撃タイムラインが公開されました。今月後半は96件のイベントを収集し、1日平均は6,9件/日から6.4件/日とやや減少しています。ランサムウェアが引き続き脅威の中心となっており、直接的または間接的に特徴付けられるイベントの割合は、前回のタイムラインと同様です（22%）。

脆弱性の影響も前回のタイムラインと同様であり（10.4%対12%）、今回も脅威者はProxyShellとZohoのManageEngine ADSelfService Plusの脆弱性を悪用し続けています。

メガブリーチの季節が続き、複数の組織が数百万規模の侵害に遭いました。良いニュースは、少なくともこのタイムラインでは、フィンテック・プラットフォームのメガハックを記録していないことです（ただし、次のタイムラインではこれが変わる予感があります）。

11月は、サイバー諜報活動を目的とした脅威が非常に活発で、このタイムラインのイベントの22%を記録しました。このタイムラインは非常に混雑しているため、このタイムラインを閲覧して、この期間を特徴付けた旧知の人物や新参者を発見することをお勧めします。

イシバシ楽器WebサーバにSQLインジェクション攻撃、約10万件の会員メールアドレスが流出（転載）～想定損害賠償額は1億円程度か～

イシバシ楽器WebサーバにSQLインジェクション攻撃、約10万件の会員メールアドレスが流出:

株式会社石橋楽器店は2022年1月11日、同社運営のWebサーバへの外部からの不正アクセスによるメールアドレス情報の一部漏えいの可能性について発表した。

これは2021年12月20日に、同社が運営するWebサーバのプログラムの一部の脆弱性を突いたSQLインジェクション攻撃によって、対象のテーブルへのアクセスが判明したというもの。

流出した可能性があるのは、2006年9月5日から2020年11月27日までにIMC会員へ登録した会員のメールアドレス98,635件。なお、メールアドレスへの限定的な攻撃だった為、氏名や住所、生年月日、クレジットカード情報の情報の漏えいはない。

同社では対象の顧客に対し、個別にメールを送付し、個人情報保護委員会と警察署へ報告を行っている。

同社では不正アクセス判明後に、攻撃のあった同社プログラムを停止し、再度の攻撃を受けないよう対応を実施している。

同社では安全管理措置を確実に実施することを確認済みで、特に技術的措置については外部専門機関による脆弱性診断を実行し、サーバシステム、Webサイトのセキュリティを強化し再発防止に努めるとのこと。

プレスリリース（アーカイブ）

2021年11月1日～15日サイバー攻撃のタイムライン / 1-15 November 2021 Cyber Attacks Timeline（転載）

1-15 November 2021 Cyber Attacks Timeline:

この時期の共通した傾向は、脆弱性の影響です。このタイムラインでは、いくつかのランサムウェア攻撃を含むイベントの12％を脆弱性が特徴づけています。Android向けの新しい0-day（CVE-2021-1048）、ProxyShellを悪用してBabukランサムウェアを展開するTortilla脅威アクター、ZohoのManageEngine ADSelfService Plus CVE-2021-4053（SolarWinds Serv-U CVE-2021-35211 も引き続き悪用しています）を利用した複数の広範囲な操作などがあります。

Robinhoodでは約700万人の顧客情報が漏洩し、また別の分散型金融（DeFi）プラットフォームでは、北朝鮮の脅威者と思われる人物に5500万ドル相当の暗号資産を盗まれる被害に遭っています。

DEV-0322 と呼ばれる脅威が ManageEngine の脆弱性を悪用するために大忙しで、Lazarus Group は、Lyceum や Kimsuky などの有名な脅威とともに、タイムラインを欠かすことはありません。このタイムラインを特徴付けるもう1つの重要なサイバースパイキャンペーンは、韓国のAndroidユーザーを標的としたPhoneSpyスパイウェアです。

日本関連のインシデントはありませんでした。