週刊OSINT 2022-06号 / WEEK IN OSINT #2022-06（転載）

WEEK IN OSINT #2022-06

OSINTニュースの世界から、地図、地政学的な問題、そしてツールについての小さな更新です。

今号は小さな更新しかありません。というのも、掲載したかった別のツールで問題が発生したからです。時々、本当に素晴らしいツールがあるのですが、それが問題を起こすと、これを全部書くのに必要な多くの時間を食いつぶしてしまうのです。でも、いろいろなことが起こるので、もしかしたらバグフィックスして、別の日に取り入れるかもしれません。しかし、小さなアップデートではありますが、私の中では決して面白くないものではありません。

Geowifi
Ukraine Monitor
Sterra
Cleanup Pictures
Cognitive Biases

ツール： Geowifi

偉大なるGonzoが素晴らしいツールを作ってくれました。Geowifiです。ツールのテストに使っている仮想マシンに問題があって、悲しいことにこれを試すことができませんでした。Wigleだけにこだわらず、他のソースも使って、できるだけ多くの情報を見つけようとしたところが素敵です Gonzoさん、ありがとうございました。

サイト: Ukraine Monitor

Centre for Information Resilienceは、ウクライナ国境沿いのロシア軍の動きに関するオープンソースの情報をまとめたマップを作成しました。この地図はMapHubでホストされており、すべての項目にはタイムスタンプが押され、その出所に関する情報が記載されています。もしあなたがこの出来事を追っているならば、この地図は絶対に気に入るはずです。

ツール: Sterra

先週、hpiedcoqさんから、meakaaetさんのSterraという新しいInstagram分析ツールのPythonスクリプトを教えてもらいました。これは、フォローされているフォロワーやアカウントとその情報のセットをダウンロードし、その後、その結果に対して何らかの分析を行うことを可能にするものです。2つの結果を単純に「比較」して、共通するアカウントを新しいXLSXに出力することができます。私が気に入っているのは、すべての結果がExcelシートに保存されるので、複数の情報セットをダウンロードし、後でじっくりと結果を分析できることです。私はまだ複数のジョブを実行していませんが、ソーシャルメディアの状況がいかに速く変化しているかを考えると、このツールは将来的にレート制限を引き起こすかもしれません。

Python3.8でインストールしようとしたところ、いくつかの問題が発生しましたので、少し注意してください。下記が必要となります。

少なくともPython3.9が動作していること
Python3.9-devがインストールされていること。

サイト: Cleanup Pictures

先週、クイズタイムの課題を出したのですが、その解答の一つを調べていたら、素敵なリンクを発見しました。「Cleanup Pictures」というウェブサイトは、AIを使って写真から不要なものを取り除くサイトです。TwitterユーザーのMCantowさんは、これを利用して写真から車を削除し、その後、逆画像検索で良い結果を得ました。例として、結果がどのようなものであるかは、こちらをご覧ください。

記事: Cognitive Biases

「Dutch OSINT Guy」Nicoが認知バイアスについて、そしてなぜそれが調査中の場所に値しないかについての記事を書いている。長い記事ではありませんが、一読されることをお勧めします。このトピックは重要なだけでなく、確かな調査と、個人的な感情や考え方に基づいた話の違いを生む可能性があるのです。Nicoさん、ありがとうございました。

ランサムウエアギャング”PANDORA”が"denso"をハッキングしたと主張

株式会社デンソー（英: DENSO Corporation）は、愛知県刈谷市を本拠に置く自動車部品メーカーである。2009年以来、自動車部品業界では国内最大手である。TOPIX Large70構成銘柄の一つである。かつては、TOPIX Core30の構成銘柄の一つでもあった。

ザンネンな日本の教育機関における情報セキュリティのレベル　～パスワードを紙に記載の上教師に提出？？？？？？？～

子供が小学校から持って帰ってきた文書、セキュリティ側の人間からすると違和感しかない。 1年経ったから情報セキュリティの観点からパスワード変更？意味わからん。理由になってない。パスワードをこの紙に記載の上教師に提出？パスワードは個人に帰属でしょ。@Chigasaki_city #茅ヶ崎市:

子供が小学校から持って帰ってきた文書、セキュリティ側の人間からすると違和感しかない。

1年経ったから情報セキュリティの観点からパスワード変更？

意味わからん。

理由になってない。

パスワードをこの紙に記載の上教師に提出？

パスワードは個人に帰属でしょ。

小学生にも分かる！サイバーセキュリティの仕事を紹介するハンドブック（転載）

小学生にも分かる！サイバーセキュリティの仕事を紹介するハンドブックを作りました

「サイバーセキュリティって何？」と小学生から聞かれたら、説明できますか？

いきなりこんな質問をされると、多くの人が戸惑ってしまうのではないでしょうか。またサイバーセキュリティの仕事をしている人でも、準備をしていないと小学生が分かるレベルで説明することは難しいと思います。

そこで、「多くの人にサイバーセキュリティについて知ってもらいたい」「サイバーセキュリティに興味を持ってもらいたい」「将来のサイバーセキュリティの担い手を増やしたい」という目的で、サイバーセキュリティに関わる仕事について分かりやすく紹介する『サイバーセキュリティ仕事ファイル 1 ～みんなが知らない仕事のいろいろ～』（以下、サイバーセキュリティ仕事ファイル）を制作しました。

『サイバーセキュリティ仕事ファイル 1』目次

インシデントハンドラー
コンピュータフォレンジッカー
プラットフォーム診断士
Webアプリケーション診断士
サイバー犯罪捜査官
セキュリティインストラクター
ゲームセキュリティ診断士
情報システムペネトレーションテスター
IoTデバイスペネトレーションテスター
セキュリティコンサルタント
脅威情報アナリスト
リスクマネジメント（リスクマネージャー）

サイバーセキュリティ仕事ファイル 1 ～みんなが知らない仕事のいろいろ～（バックアップ）

【悲報】エクスペディア・グループ、IHGと流通最適化でパートナーシップ

エクスペディア・グループ、IHGと流通最適化でパートナーシップ:

私がこの世で元も嫌う組織の一つであるエクスペディア・グループは、IHGホテルズ＆リゾーツと流通の最適化でパートナーシップを締結した。

「オプティマイズド・ディストリビューション・プログラム」を活用し、IHGホテルズ＆リゾーツの各施設の客室を、卸売料金で、ツアーオペレーターや旅行会社、BtoBプロバイダーに販売する。卸売流通市場は非効率的でコストがかかるほか、複数の販路を維持するためことで収益に大きな影響を与えるとしている。エクスペディア・グループを通じて、ツアーオペレーターや旅行会社、BtoBプロバイダーに販売する。

IHGホテルズ＆リゾーツのジョージ・ターナーチーフ・コマーシャル＆テクノロジー・オフィサーは、「エクスペディア・グループの最適化された販売プログラムへの参加を大変売れしく思っています。この提携により、コスト削減、チャネルミックスの管理強化、収益管理戦略の強化など、卸売をよりシームレスに管理できるようになり、最終的にオーナーとホテルにさらなる価値を提供できるようになります」とコメントした。

S7航空、全ての国際線の運航停止

S7航空、全ての国際線の運航停止:

S7航空は、2022年3月5日から全ての国際線の運航を停止すると発表した。

対象路線は全ての国際線であるものの、日本への乗り入れ便は、新型コロナウイルスの影響で運航されていない。再開日は未定であるとしている。欠航便の航空券を所持している人に対しては、全額を返金する。ロシアから往復航空券で出発し、まだ海外にいる利用者に対しては、出発空港の事務所に連絡するよう求めている。

ロシア当局は3月5日、外国のリース企業からリースされている機体の差し押さえを防ぐ目的で、3月8日以降の国際線の運航を停止することを勧告すると発表している。

オワコンのTポイントはウクライナ支援に投入せよ～1ポイントから募金可能～

先日下記内容がYahooから届いた。

YahooとTポイントの提携が終わることは知っていたが、Tポイントがたまっていたことが衝撃だった。

33ポイントなんて何の使い道もないと思っていたのだが、Yahooでウクライナ募金をやっており、しかも1ポイントから募金できるというではないか！

という訳で早速支援させていただきました。

「ふるさとプレミアム」にパスワードリスト型攻撃発生

「ふるさとプレミアム」にパスワードリスト型攻撃、発覚日に遮断システム導入とパスワード強制リセット実施:

株式会社ユニメディアは2022年3月2日、同社が運営するふるさと納税支援サイト「ふるさとプレミアム」への不正ログインについて発表した。

これは2022年2月17日午後1時に、同社にて「ふるさとプレミアム」管理画面の異常に気付き調査を開始したところ、ディスク使用量が100％に到達していたため、原因を確認したところ膨大な回数のパスワードリスト型攻撃を受けた可能性が判明したというもの。

同社によると、攻撃推定日は2022年2月13日から2月17日で、日本国内の2,000以上のIPアドレスから分散攻撃の形跡があり、その攻撃回数は約600万回に及んでいる。

不正ログインに成功したのは推計2,099ユーザーで、住所、氏名、性別、誕生日、電話番号、並びにAmazonギフトコードを閲覧または画像撮影できた可能性がある。

同社ではまず、大量アクセスを自動的に遮断できるシステムを導入しbotによるパスワードリスト攻撃を遮断し、続いて不正ログインと見做し得る攻撃対象5,774件について、利用者IDに紐づくパスワードの強制リセットを実施し、利用者にはパスワード強制リセットの連絡を2月17日午後21時38分までに行っている。

同社では既に、管轄の警察署に相談し捜査依頼が受理されており、その他監督省庁や専門機関への報告も完了している。

同社では現在、セキュリティを専門とする第三者機関に事態の解析を依頼しており、報告結果を受けて抜本的かつ恒久的な再発防止策の実施を決定しているとのこと。

プレスリリース（アーカイブ）

ウクライナを救え！ランサムウェア「HermeticRansom」用の無料復号化ツール / Help for Ukraine: Free decryptor for HermeticRansom ransomware

Help for Ukraine: Free decryptor for HermeticRansom ransomware:

2022年2月24日、Avast Threat Labs はデータワイパー「HermeticWiper」に付随する新しいランサムウェアを発見しました。このマルウェアはESETの仲間がウクライナで出回っているのを発見しました。この命名規則に従い、私たちはこのワイパーに付随するランサムウェアを HermeticRansom と命名することを決定しました。CrowdstrikeのIntelligence Teamが行った分析によると、このランサムウェアは暗号スキーマに弱点があり、無料で復号化することが可能です。

お使いのデバイスが HermeticRansom に感染しており、ファイルを復号化したい場合は、ここをクリックして Avast decryptor を使用してファイルを復元する方法に進んでください。

Go!

このランサムウェアはGO言語で書かれています。実行されると、ローカルドライブやネットワーク共有を検索して、潜在的に価値のあるファイルを探し、以下の拡張子のいずれかを持つファイルを探します（順番はサンプルからの抜粋です）。

.docx .doc .dot .odt .pdf .xls .xlsx .rtf .ppt .pptx .one.xps .pub .vsd .txt .jpg .jpeg .bmp .ico .png .gif .sql.xml .pgsql .zip .rar .exe .msi .vdi .ova .avi .dip .epub.iso .sfx .inc .contact .url .mp3 .wmv .wma .wtv .avi .acl.cfg .chm .crt .css .dat .dll .cab .htm .html .encryptedjb

被害者のPCの動作を維持するために、ランサムウェアはProgram FilesとWindowsフォルダのファイルの暗号化を避けています。

ランサムウェアは、暗号化するファイルを指定するごとに、32バイトの暗号鍵を作成します。ファイルはブロック単位で暗号化され、各ブロックは1048576 (0x100000) バイトです。最大で9つのブロックが暗号化されます。9437184バイト（0x900000）を超えるデータはプレーンテキストのまま残されます。各ブロックは、対称暗号方式であるAES GCMによって暗号化されます。データの暗号化後、ランサムウェアはRSA-2048で暗号化されたファイルキーを含むファイルの末尾を追加します。公開鍵は、Base64でエンコードされた文字列としてバイナリに格納されています。

暗号化されたファイル名には、特別なサフィックスが付きます。

.[vote2024forjb@protonmail.com].encryptedJB

完了すると、"read_me.html "というファイルがユーザーのDesktopフォルダーに保存されます。

ランサムウェアのバイナリには、政治的な志向を持つ文字列が興味深いほど多く含まれています。2024年のJoe Bidenの再選に言及したファイル拡張子に加え、プロジェクト名にも彼への言及があります。

実行中、ランサムウェアは、実際の暗号化を行う子プロセスを大量に作成します。

Avast decryptor を使用してファイルを復元する方法

ファイルを復号化するには、以下の手順で行ってください。

Avast decryptor を無償でダウンロードする。
実行ファイルを実行するだけです。ウィザードの形で起動し、復号化処理の設定を案内してくれます。
最初のページで、必要であればライセンス情報を読むことができますが、本当に必要なのは "Next" をクリックすることだけです。
次のページで、検索および暗号化解除を行う場所のリストを選択します。デフォルトでは、すべてのローカルドライブのリストが含まれています。
最後のウィザードのページでは、暗号化されたファイルをバックアップするかどうかを選択することができます。これらのバックアップは復号化処理中に何か問題が発生した場合に役立つかもしれません。このオプションはデフォルトでオンになっていますが、これはお勧めします。復号化 "をクリックすると、復号化処理が開始されます。復号機の動作に任せ、終了するまで待ちます。

IOCs

SHA256: 4dc13bb83a16d4ff9865a51b3e4d24112327c526c1392e14d56f20d6f4eaf382

ホワイトハッカーへの道 / Want to Be an Ethical Hacker? Here's Where to Begin

Want to Be an Ethical Hacker? Here's Where to Begin:

サイバーセキュリティのスキル不足はピークレベルに達しており、大規模なサイバー攻撃が迫る中、この分野では50万人以上の求人が出ています。その結果、企業はサイバーセキュリティを強化するために、「ホワイトハッカー」を活用するようになっています。このホワイトハッカーは、バグや脆弱性を積極的に発見することで生計を立てている経験豊富なプロフェッショナルです。

では、このホワイトハッカーはどのようにして始めるのでしょうか。

従来の技術職の仕事に縛られることなく、彼らはオンラインリソースを活用して独学し、他のハッカーを観察し、既存のプロフェッショナルから戦術を学ぶことができるのです。これらのリソースを活用することで、初心者ハッカーはサイバーセキュリティの領域で特定の情熱を見出し、最終的にホワイトハッカーの専門家として自分の足跡を残すことができます。

初心者はここを見るべし

ハッキングの世界に足を踏み入れたばかりの初心者は、基本的な資料を活用し、用語やベストプラクティス、脆弱性報告など、組織で求められる知識を身につける必要があります。

Nahamsecの「Resources for Beginner Bug Bounty Hunters」では、ハッキングを学ぶためのリソースの索引を提供しています。
Codingoのウェブサイト上の検索機能は、ハッカーの検索可能な公開コンテンツの膨大なスタックをインデックス化しています。
S0cm0nkeyの「Security Reference Guide」も、サイバーセキュリティのリソースの宝庫です。
InfosecWriteupsは、CTFやバグバウンティなどのサイバーセキュリティ関連の書き込みを大量に掲載しているMediumの出版物です。

自分で手を動かして学ぶ

時には、学ぶための最良の方法は、実行することです。以下のラボは、ハッカーが様々なタイプの倫理的ハッキングを実際に体験する機会を提供します。

Pentesterlab：ハッキングの方法を学ぶためのハンズオンアプローチ。
Portswigger Labs: Webアプリケーションのセキュリティラボの巨大なセットで、完全に無料です。
Tryhackme: サイバーセキュリティのトレーニングプラットフォームと対戦型ハッキングゲームで、基礎のためのプレセキュリティ、攻撃的なペンテスト、サイバーディフェンスの3つのストリームから選択できます。
Hackthebox: 世界的に有名なCTF(Capture The Flag)ゲーム。トレーニング用の "トラック "も提供されている。
Kontra：アプリケーション・セキュリティについて開発者に教えるために設計された、一連のホストラボを提供するオンラインプラットフォーム。
Hacker101.com：バグバウンティプラットフォームHackeroneによって作られた、Webセキュリティのためのオンライントレーニングプラットフォームです。
Vulnhub：仮想マシンの脆弱性を利用した「チャレンジボックス」をアップロードすることができるプラットフォーム。目標は、様々な脆弱性を悪用して、これらのマシンのルート/システムレベルのアクセス権を得ることです。

専門家(プロ)から学ぶ

ホワイトハッカーはしばしばプロの発見を共有することに熱心で、初心者は彼らをよくフォローする必要があります。プロがどのようにバグバウンティ作業に取り組んでいるかを理解することは、新米ハッカーが効果的に習慣を形成するのに役立ちます。(注意: これらのリソースの中には、かなり長い間更新されていないものもありますが、古い資料でも非常に有益な場合があります!)

Hackerone Hacktivity：Hackeroneプラットフォームで公開された脆弱性のストリームを無制限に利用できます。
Crowdstream：クラウドストリーム。HackeroneのHacktivityに相当するBugcrowd。
Pentesterland：初心者のハッカー向けに、バグバウンティの書き込みやリソースの大規模な精選リストを提供する。
D0nut's blog: たくさんの逸品が混在しています。
Intigriti's Medium Publication：多くの素晴らしいバグバウンティコンテンツで満たされています。
Secjuice：CTFの記事、チュートリアル、方法論など、サイバーセキュリティに関する記事を掲載する非営利の出版物です。
Detectify Labs: 著名なハッカーによるサイバーセキュリティの研究を大量に掲載。

動画で学ぶ

既存のハッカーを観察するためのもう一つの素晴らしいリソースは、YouTubeのコンテンツです。多くの著名なハッカーは、知識共有のために自分の仕事に関するコンテンツを投稿します。新しいハッカーは、キャリア、新しい発見、企業の報奨金プログラムとの連携方法について理解することができます。

Liveoverflow：サイバーセキュリティに関するYouTubeの伝説的存在で、さまざまなトピックについて300本以上のビデオを公開しています。
John Hammond：CTFウォークスルー、プログラミングチュートリアル、インタビュー、ダークウェブ、マルウェア解析など、あらゆるトピックをカバーするチャンネルです。
Nahamsec: 毎週日曜日に「Recon Sundays」を配信しており、偵察の様子をライブで配信したり、ゲストを招いたりしている。
STÖK: 主にバグバウンティに関連するビデオを制作しています。ハッカーにインタビューしたり、ハッキングイベントをライブで記録したり、「Bug Bounty Thursdays」という業界ニュースを毎週発表している。
Farah Hawa: 複雑なトピックを基本に落とし込んで、理解できるように説明する。様々なバグクラス、ハッキングのプロセス、キャリアについて説明しています。
Codingo: ツール、ハッキングプロセス、リコンなど、バグバウンティに特化したビデオを制作しています。
PwnFunction: 主にWebアプリケーションのハッキングにフォーカスしています。
Ippsec: HackTheBoxのチャレンジボックスのウォークスルーを作成し、プロフェッショナルの肩越しに見ているようなシミュレーションを行う。
InsiderPhD: ハッキング、バグバウンティ、機械学習などに関するビデオを制作しています。
Hakluke：そして最後に、私です! 説明ビデオ、バグバウンティレポートの説明、キャリア、マインドセットビデオなど。

登録: 投稿 (Atom)