Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Security Days Spring 2021のOSINTに関する講演4つの簡易まとめ/os_int_webinars2021spr

meow
July 09, 2021

Security Days Spring 2021のOSINTに関する講演4つの簡易まとめ/os_int_webinars2021spr

2021/05/27(木) に 第7回 初心者のためのセキュリティ勉強会(オンライン開催) で発表した資料です。

https://sfb.connpass.com/event/213016/

■ おすすめリンク
・OSINTによるマルウェア調査ハンズオン(スレットインテリジェンスの一例)
https://speakerdeck.com/ctrl_z3r0/investigating-malware-20191030

meow

July 09, 2021
Tweet

More Decks by meow

Other Decks in Technology

Transcript

  1. Security Days Spring 2021の
    OSINTに関する講演4つのメモ
    第7回 初心者のためのセキュリティ勉強会(オンライン開催)
    meow (id: meow_noisy)
    2021/05/27(木)

    View full-size slide

  2. 背景
     今年2,3月に開催されたSecurity DaysでOSINTの講演が
    4回分あったので受講
     xINT CTFの対策になるかもしれないというのが主な動機
     メモを取って聞いていたが、取ったままになっていたので、
    より内容を理解するためにスライドにおこした

    View full-size slide

  3. 注意点
     私の発表は間違いを含んでいるかもしれません
     スライドを作るにあたって一応、下調べはしていますが、あくまで
    メモと記憶をもとにしているので、間違った認識のままスライドを
    作っているかもしれません
     その時は申し訳ございません

    View full-size slide

  4. おしながき
     Security Daysとは、講演者情報
     共通トピック
     個別:ランサムウェア
     個別:パスワード
     個別:テレワーク
     個別:画像

    View full-size slide

  5. Security Days
     国内で開催されるセキュリティカンファレンス
     最新の脅威動向とセキュリティ対策に関するセッション、展示
     オンライン視聴可能なセッションもあり
     主催: ㈱ナノオプト・メディア
     4日間、複数の場所で開催
     2/19 大阪
     2/24 名古屋
     2/26 福岡
     3/3 東京

    View full-size slide

  6. OSINTの講演
     講演者:
     杉浦 隆幸さん(日本ハッカー協会 理事)
     xINT CTFの作問・運営も携わっている
     4日程すべてに登壇。内容は共通トピックと会場ごとの個別ト
    ピックからなる
     共通トピック
     OSINT:ハッカーから見えるインターネットの世界
     会場ごとの個別トピック
     大阪: ランサムウェア
     名古屋: IDパスワードの漏洩
     福岡:クラウドサービスとテレワーク
     東京: 写真と動画

    View full-size slide

  7. 共通:
    OSINT:ハッカーから見える
    インターネットの世界

    View full-size slide

  8. 共通トピックの概要
     ハッカーはインターネットで何を情報収集しているか
     インテリジェンス、OSINTとは
     その他

    View full-size slide

  9. ハッカーはwebブラウザで何をみているか
     webページのソースコード
     求人情報が載っていることも
     インスペクションツールを用いて、通信の内容を解析
     アクセスしてるホスト
     フォント、アナリティクス、…
     cookie
     web appフレームワークの標準設定だとサーバが不要な情報を送ってい
    ることも
     サーバのメンテ頻度を伺い知ることができる
     json
     secretというキーをもつ値があったりする

    View full-size slide

  10. さっくりとwebページの技術調査をしたい時
     Wappalyzer
     ブラウザの拡張機能の1つ
     特徴
     webページの使用技術をクリックひとつで出すことができる
     ライブラリバージョンから、会社のページのメンテどれくらいの間
    隔で行われているかを知ることができる。

    View full-size slide

  11. DNSサーバ
     注目すべきはMXレコードとTXTレコード
     コマンド
     $ dig – t MX <ドメイン>
     $ dig – t TXT <ドメイン>
     MX(Mail eXchange)レコード
     メールサーバの場所を知らせるためのレコード
     office365やgmail, salesforceを使っていることがわかる
     TXTレコード
     コメントを置く場所
     SPFレコード
     メールサーバの場所を教えている
     LAN内のIPアドレスが含まれている
     これらのレコードはドメインをもつ会社が、外部サービスを
    使うために必ず設定しなければならない
     隠したくても隠せない

    View full-size slide

  12. 写真
     画像のexifチェック
     exif: 写真用のメタデータを含む画像ファイルフォーマット
     webサービスによっては消されていないものも
     撮影日、撮影場所(右図黄色枠)がわかるかも
     exifの確認ツール
     webサービスだと 『EXIF確認君』
     CUIだと『ExifTool』
    EXIFの例

    View full-size slide

  13. スマホアプリの遊び方
     アプリで遊ぶのではなく、パッケージを解析するという
    遊び

    View full-size slide

  14. 現地での情報収集
     wifiからルータ情報の収集
     ルータのメーカが一覧として取得できる
     大阪会場はHP社が多め
     iPhone
     テザリングしたままだと「<本名>のiPhone」というSSIDになって
    いる
     Bluetoothを通して、近くにいる人が所持している端末の型番がわ
    かるらしい
     どうやるのかはわからなかった

    View full-size slide

  15. 使える情報へ昇華する
     情報は多いほどいいわけではない
     判断や行動、意思決定に使えて始めて価値がある
     情報のレベルを上げていく必要がある
     「情報」のレベル
     data(図の下)
     存在している情報
     information (図の中)
     意味のある情報
     intelligence (図の上)
     分析、統合を経て入手できる
    利用価値のある情報
    intelligence
    information
    data
    情報の
    意味づけ
    分析・統合などで
    利用価値を向上

    View full-size slide

  16. インテリジェンスのフロー
    情報A
    情報B
    入手した情報
    情報X
    入手していない情報
    情報C
    統合
    分析
    情報C1
    情報C2
    情報D
    こんな情報があるはず(仮説)
    情報E ・・・
    情報の価値
     複数の情報を分析、統合、仮説の検証などを経て、より利用価値のある情報に
    する(information→intelligenceへ情報の価値を上げていくこと)行為自体も
    インテリジェンスと呼ぶ
    情報を元に最終的な意思
    決定へ
    例) 情報ZからプランPを実
    施するのがよい

    View full-size slide

  17.  data
     ”0312” という文字列
     HDDや画面など、ただそこにあるだけの情報
     information
     “Aさんの誕生日: 0312”
     0312がどういう意味なのかを添えた情報とセット
     intelligence
     Aさんの暗証番号
     仮説: 「0312と入力するとクラックできるかも」
     informationの情報を複数あつめ、仮説を立てる
    どういう意味か一例を考えてみる ※間違っているかもしれません。

    View full-size slide

  18. インテリジェンスの種類
    https://speakerdeck.com/ctrl_z3r0/investigating-malware-20191030?slide=6

    View full-size slide

  19. OSINTの種類(対象)
     ナショナルインテリジェンス
     政府、軍事など
     ビジネスインテリジェンス
     企業情報、従業員など
     スレットインテリジェンス
     脅威のあるip, マルウェアなど
     参考文献に上げたhiroさんのスライド(ばらまき型メールに対するインテリジェン
    ス)がスレットインテリジェンスの一例として参考になる
     サイバーインテリジェンス
     ドメイン、サーバ、使用している技術など
    OSINTはインテリジェンスの対象によって行うことが違う。
    「OSINT技術」という用語を見た時は何の情報を手に入れることか
    最初に確認したほうが良い

    View full-size slide

  20. OSINTの注意点
     ターゲットは我々がOSINTしていることに気づいている
    ことを意識して調査しなければならない
     サーバとの通信は1対1
     ログはサーバ内に残っている
     某SNSでサブ垢を作ってOSINTをしていたら本垢ごとBANされた
    事例も

    View full-size slide

  21. 個別: ランサムウェア
    ダークウェブの説明が多く、一次情報へリーチできませんでした

    View full-size slide

  22. ランサムウェアに対するOSINT
     脅迫の種類
     暗号化
     機密情報の暴露
     調査場所
     ダークウェブ
     何を調査するか
     被害範囲
     被害の深刻度
     復号手段が試せるか
     ツール3種類
     犯行グループ

    View full-size slide

  23. 個別:IDパスワードの漏洩

    View full-size slide

  24. パスワード漏洩
     パスワードはだれでも漏れる
     原因
     eコマース、イベントサイトなどが不正アクセスを受けて流出
     パスワード使い回しをしていると、連鎖的に被害に会う
    https://www.ipa.go.jp/security/keihatsu/munekyun-pw/slideshow/index.html

    View full-size slide

  25. 漏洩したID,パスワードのマーケット
     ダークウェブに取引所
     某国の政府機関のパスワードが平文でXX万件がBTCでいくら
     パスワードはだんだん割引される
     相対しての取引→公開DBとして販売→無料
     サイズでかいのでダウンロード技術が必要

    View full-size slide

  26. 漏洩しているか調査するサイト
     Have I Been Pwned
     https://haveibeenpwned.com/
     最近だと facebookの電話番号流出事件にも対応
     一般のユーザは黒背景のページは抵抗感をいだきやすいとのこと
     入力したメアドもHIBP側に記録される
     個人情報流出チェックページ | ノートン
     https://jp.norton.com/breach-detection

    View full-size slide

  27. パスワードが漏れる前提での行動
     二段階認証
     二要素認証
     Google authenticatorなど
     QRコードを保存するのを忘れてしまって、アカウントリカバリが
    できなくならないように注意

    View full-size slide

  28. パスワード漏洩に関するOSINT手順
    1. 漏洩情報の事実を収集
     intelligenceX(有料サービス)
    2. 組織内で利用しているクラウドサービスを収集
    3. 分析
     パスワードのみだとどれくらい盗まれるか推定
     利用しているサービスからパスワード認証しかないサービスを特

    4. レポート作成
    5. レポートに基づいて組織は何らかのプランを実行
     例「多要素認証のないサービスは乗り換える」

    View full-size slide

  29. 個別:クラウドサービスとテレワーク

    View full-size slide

  30. テレワークの形態は6種類
    1. VPN + リモートデスクトップ
    2. VPN + 社内ネットワーク
    3. シンクライアント
    4. クラウドサービス経由で会社の端末に入る
     team viewer, logmein
    5. ゼロトラスト(社内システム入らず仕事)
     office365, google workspace
    6. それ以外のクラウドサービス利用
    どういう形で仕事をしているかOSINT→どこがセキュリティホールそうか→攻撃手段の意思決定
    もしもVPNに某製品を使用していることがわかったら…

    View full-size slide

  31. DNSへのOSINT
     DNSのレコードからVPNサーバを探す
     会社のLANの出口が見つかる
     そこをポートスキャン
     TXTレコードを見て使っているサービスを探す
     gmail, officeなど
     DNSレコードからどういうサービス使っているかの一覧の載った記

     メールドメインがOffice 365やG Suiteを使っているかどうか判定する
     https://qiita.com/Okura_/items/37024fb3adb146fb0d60

    View full-size slide

  32. 社員へのOSINT
     SNSの書き込みから
     「slackが落ちてるっぽい」
     「VPNクッソ遅い」
     …など
     こういった書き込みから、会社の先進感を掴む
     M&Aや標的型攻撃の判断材料として使う

    View full-size slide

  33. 個別:写真と動画
    ※動画に対するOSINTの説明は無かった

    View full-size slide

  34. 写真のOSINT方法3つ
    1. 文字情報で検索
    1. 店の名前を知りたければメニューで検索
    2. 「画像で検索」、類似画像検索
     グーグルレンズ
     yandex
     画像の一部を切り出して検索してくれる
     など
    3. なぜこの写真を撮ったのか考えて、これにコメントをつけ
    た場合の検索キーを考える(次頁)
    xintctf 2018より

    View full-size slide

  35. 3の補足
     右の画像の撮影場所を知りたい
     これにコメントをつけた場合の検索キーを
    考える
     例「ちょwww人の顔のビルがあって
    どちゃくそびびったんやがwww」
     「ビル 人の顔」で検索
     The Barak Building(豪州) であるとわかる CYBAR OSINT CTFより

    View full-size slide

  36. 観察力(視ている物の言語化)が大事
     写真が与えられた時、文字情報が少ない場合は言語化する
     より詳細に
    xINT CTF2020より

    View full-size slide

  37. 観察力(視ている物の言語化)が大事
     写真を詳しく観察し、何が写っているかラベルをふる
     そこからほしい情報を引き出す
     撮影場所
     何時?
     など
    xINT CTF2020より
    青空



    木々
    田んぼ
    草むら
    電信柱
    ポール
    道路

    看板
    電信柱
    バス
    標識


    電線 雲
    電線
    電線

    小屋


    電柱の取っ手
    ポール

    View full-size slide

  38. 撮影時刻の推定
     この画像は2019年にとられたものだが、何月何日何時何分
    に撮られたか
     場所はわかるが、どうするか
    xINT CTF2020より

    View full-size slide

  39. 太陽の位置から撮影時刻を推定可能
     webサービス「日の出・日の入り時刻・方角マップ」
     https://hinode.pics/

    View full-size slide

  40. 日の入り
     まだ日没していないことに注意
     沈む方角、沈むまでの残り時間も逆算して推定する

    View full-size slide

  41. [余談]バスのOSINTに隠れた需要…?
     この回の講演があった日、いつにも増して私のブログPVが
    増えていた
     どういう検索ワードで流入しているか確認
     “OSINT バス”で検索された方が大勢いた模様
    ブログpv
    google search consoleのクリックされた検索ワード一覧より

    View full-size slide

  42. まとめ
     Security Daysの講演メモ4つをスライドにおこしたものを
    発表した
     パスワードは使い回さないようにしよう
     写真からは思っている以上に情報を引き出せる
     公開する時は十分注意しよう

    View full-size slide

  43. 参考文献
     OSINTによるマルウェア調査
     https://speakerdeck.com/ctrl_z3r0/investigating-malware-
    20191030
     「サイバー攻撃と戦う『ホワイトハッカー』のお仕事と
    は?」杉浦隆幸さん , 近藤弥生子さん - YouTube
     https://www.youtube.com/watch?v=TcVeKCgGOQk

    View full-size slide

  44. ご清聴ありがとうございました

    View full-size slide