Security Days Spring 2021のOSINTに関する講演4つの簡易まとめ/os_int_webinars2021spr

Transcript

1. Security Days Spring 2021の OSINTに関する講演4つのメモ 第７回 初心者のためのセキュリティ勉強会（オンライン開催） meow (id: meow_noisy)

   2021/05/27(木)

2. 背景  今年2,3月に開催されたSecurity DaysでOSINTの講演が 4回分あったので受講  xINT CTFの対策になるかもしれないというのが主な動機  メモを取って聞いていたが、取ったままになっていたので、

   より内容を理解するためにスライドにおこした

3. 注意点  私の発表は間違いを含んでいるかもしれません  スライドを作るにあたって一応、下調べはしていますが、あくまで メモと記憶をもとにしているので、間違った認識のままスライドを 作っているかもしれません  その時は申し訳ございません

4. おしながき  Security Daysとは、講演者情報  共通トピック  個別:ランサムウェア  個別:パスワード

    個別:テレワーク  個別:画像

5. Security Days  国内で開催されるセキュリティカンファレンス  最新の脅威動向とセキュリティ対策に関するセッション、展示  オンライン視聴可能なセッションもあり  主催:

   ㈱ナノオプト・メディア  4日間、複数の場所で開催  2/19 大阪  2/24 名古屋  2/26 福岡  3/3 東京

6. OSINTの講演  講演者:  杉浦 隆幸さん(日本ハッカー協会 理事)  xINT CTFの作問・運営も携わっている

    4日程すべてに登壇。内容は共通トピックと会場ごとの個別ト ピックからなる  共通トピック  OSINT:ハッカーから見えるインターネットの世界  会場ごとの個別トピック  大阪: ランサムウェア  名古屋: IDパスワードの漏洩  福岡:クラウドサービスとテレワーク  東京: 写真と動画

7. 共通: OSINT:ハッカーから見える インターネットの世界

8. 共通トピックの概要  ハッカーはインターネットで何を情報収集しているか  インテリジェンス、OSINTとは  その他

9. ハッカーはwebブラウザで何をみているか  webページのソースコード  求人情報が載っていることも  インスペクションツールを用いて、通信の内容を解析  アクセスしてるホスト 

   フォント、アナリティクス、…  cookie  web appフレームワークの標準設定だとサーバが不要な情報を送ってい ることも  サーバのメンテ頻度を伺い知ることができる  json  secretというキーをもつ値があったりする

10. さっくりとwebページの技術調査をしたい時  Wappalyzer  ブラウザの拡張機能の1つ  特徴  webページの使用技術をクリックひとつで出すことができる 

    ライブラリバージョンから、会社のページのメンテどれくらいの間 隔で行われているかを知ることができる。

11. DNSサーバ  注目すべきはMXレコードとTXTレコード  コマンド  $ dig – t

    MX <ドメイン>  $ dig – t TXT <ドメイン>  MX(Mail eXchange)レコード  メールサーバの場所を知らせるためのレコード  office365やgmail, salesforceを使っていることがわかる  TXTレコード  コメントを置く場所  SPFレコード  メールサーバの場所を教えている  LAN内のIPアドレスが含まれている  これらのレコードはドメインをもつ会社が、外部サービスを 使うために必ず設定しなければならない  隠したくても隠せない

12. 写真  画像のexifチェック  exif: 写真用のメタデータを含む画像ファイルフォーマット  webサービスによっては消されていないものも  撮影日、撮影場所(右図黄色枠)がわかるかも

     exifの確認ツール  webサービスだと 『EXIF確認君』  CUIだと『ExifTool』 EXIFの例

13. スマホアプリの遊び方  アプリで遊ぶのではなく、パッケージを解析するという 遊び

14. 現地での情報収集  wifiからルータ情報の収集  ルータのメーカが一覧として取得できる  大阪会場はHP社が多め  iPhone 

    テザリングしたままだと「<本名>のiPhone」というSSIDになって いる  Bluetoothを通して、近くにいる人が所持している端末の型番がわ かるらしい  どうやるのかはわからなかった

15. 使える情報へ昇華する  情報は多いほどいいわけではない  判断や行動、意思決定に使えて始めて価値がある  情報のレベルを上げていく必要がある  「情報」のレベル 

    data(図の下)  存在している情報  information (図の中)  意味のある情報  intelligence (図の上)  分析、統合を経て入手できる 利用価値のある情報 intelligence information data 情報の 意味づけ 分析・統合などで 利用価値を向上

16. インテリジェンスのフロー 情報A 情報B 入手した情報 情報X 入手していない情報 情報C 統合 分析 情報C1

    情報C2 情報D こんな情報があるはず(仮説) 情報E ・・・ 情報の価値  複数の情報を分析、統合、仮説の検証などを経て、より利用価値のある情報に する(information→intelligenceへ情報の価値を上げていくこと)行為自体も インテリジェンスと呼ぶ 情報を元に最終的な意思 決定へ 例) 情報ZからプランPを実 施するのがよい

17.  data  ”0312” という文字列  HDDや画面など、ただそこにあるだけの情報  information 

    “Aさんの誕生日: 0312”  0312がどういう意味なのかを添えた情報とセット  intelligence  Aさんの暗証番号  仮説: 「0312と入力するとクラックできるかも」  informationの情報を複数あつめ、仮説を立てる どういう意味か一例を考えてみる ※間違っているかもしれません。

18. インテリジェンスの種類 https://speakerdeck.com/ctrl_z3r0/investigating-malware-20191030?slide=6

19. OSINTの種類(対象)  ナショナルインテリジェンス  政府、軍事など  ビジネスインテリジェンス  企業情報、従業員など 

    スレットインテリジェンス  脅威のあるip, マルウェアなど  参考文献に上げたhiroさんのスライド(ばらまき型メールに対するインテリジェン ス)がスレットインテリジェンスの一例として参考になる  サイバーインテリジェンス  ドメイン、サーバ、使用している技術など OSINTはインテリジェンスの対象によって行うことが違う。 「OSINT技術」という用語を見た時は何の情報を手に入れることか 最初に確認したほうが良い

20. OSINTの注意点  ターゲットは我々がOSINTしていることに気づいている ことを意識して調査しなければならない  サーバとの通信は1対1  ログはサーバ内に残っている  某SNSでサブ垢を作ってOSINTをしていたら本垢ごとBANされた

    事例も

21. 個別: ランサムウェア ダークウェブの説明が多く、一次情報へリーチできませんでした

22. ランサムウェアに対するOSINT  脅迫の種類  暗号化  機密情報の暴露  調査場所 

    ダークウェブ  何を調査するか  被害範囲  被害の深刻度  復号手段が試せるか  ツール3種類  犯行グループ

23. 個別:IDパスワードの漏洩

24. パスワード漏洩  パスワードはだれでも漏れる  原因  eコマース、イベントサイトなどが不正アクセスを受けて流出  パスワード使い回しをしていると、連鎖的に被害に会う https://www.ipa.go.jp/security/keihatsu/munekyun-pw/slideshow/index.html

25. 漏洩したID,パスワードのマーケット  ダークウェブに取引所  某国の政府機関のパスワードが平文でXX万件がBTCでいくら  パスワードはだんだん割引される  相対しての取引→公開DBとして販売→無料 

    サイズでかいのでダウンロード技術が必要

26. 漏洩しているか調査するサイト  Have I Been Pwned  https://haveibeenpwned.com/  最近だと

    facebookの電話番号流出事件にも対応  一般のユーザは黒背景のページは抵抗感をいだきやすいとのこと  入力したメアドもHIBP側に記録される  個人情報流出チェックページ | ノートン  https://jp.norton.com/breach-detection

27. パスワードが漏れる前提での行動  二段階認証  二要素認証  Google authenticatorなど  QRコードを保存するのを忘れてしまって、アカウントリカバリが

    できなくならないように注意

28. パスワード漏洩に関するOSINT手順 1. 漏洩情報の事実を収集  intelligenceX(有料サービス) 2. 組織内で利用しているクラウドサービスを収集 3. 分析 

    パスワードのみだとどれくらい盗まれるか推定  利用しているサービスからパスワード認証しかないサービスを特 定 4. レポート作成 5. レポートに基づいて組織は何らかのプランを実行  例「多要素認証のないサービスは乗り換える」

29. 個別:クラウドサービスとテレワーク

30. テレワークの形態は6種類 1. VPN + リモートデスクトップ 2. VPN + 社内ネットワーク 3.

    シンクライアント 4. クラウドサービス経由で会社の端末に入る  team viewer, logmein 5. ゼロトラスト(社内システム入らず仕事)  office365, google workspace 6. それ以外のクラウドサービス利用 どういう形で仕事をしているかOSINT→どこがセキュリティホールそうか→攻撃手段の意思決定 もしもVPNに某製品を使用していることがわかったら…

31. DNSへのOSINT  DNSのレコードからVPNサーバを探す  会社のLANの出口が見つかる  そこをポートスキャン  TXTレコードを見て使っているサービスを探す 

    gmail, officeなど  DNSレコードからどういうサービス使っているかの一覧の載った記 事  メールドメインがOffice 365やG Suiteを使っているかどうか判定する  https://qiita.com/Okura_/items/37024fb3adb146fb0d60

32. 社員へのOSINT  SNSの書き込みから  「slackが落ちてるっぽい」  「VPNクッソ遅い」  …など 

    こういった書き込みから、会社の先進感を掴む  M＆Aや標的型攻撃の判断材料として使う

33. 個別:写真と動画 ※動画に対するOSINTの説明は無かった

34. 写真のOSINT方法3つ 1. 文字情報で検索 1. 店の名前を知りたければメニューで検索 2. 「画像で検索」、類似画像検索  グーグルレンズ 

    yandex  画像の一部を切り出して検索してくれる  など 3. なぜこの写真を撮ったのか考えて、これにコメントをつけ た場合の検索キーを考える(次頁) xintctf 2018より

35. 3の補足  右の画像の撮影場所を知りたい  これにコメントをつけた場合の検索キーを 考える  例「ちょwww人の顔のビルがあって どちゃくそびびったんやがwww」 

    「ビル 人の顔」で検索  The Barak Building(豪州) であるとわかる CYBAR OSINT CTFより

36. 観察力(視ている物の言語化)が大事  写真が与えられた時、文字情報が少ない場合は言語化する  より詳細に xINT CTF2020より

37. 観察力(視ている物の言語化)が大事  写真を詳しく観察し、何が写っているかラベルをふる  そこからほしい情報を引き出す  撮影場所  何時? 

    など xINT CTF2020より 青空 雲 雲 山 木々 田んぼ 草むら 電信柱 ポール 道路 影 看板 電信柱 バス 標識 山 車 電線 雲 電線 電線 雲 小屋 窓 軒 電柱の取っ手 ポール

38. 撮影時刻の推定  この画像は2019年にとられたものだが、何月何日何時何分 に撮られたか  場所はわかるが、どうするか xINT CTF2020より

39. 太陽の位置から撮影時刻を推定可能  webサービス「日の出・日の入り時刻・方角マップ」  https://hinode.pics/

40. 日の入り  まだ日没していないことに注意  沈む方角、沈むまでの残り時間も逆算して推定する

41. [余談]バスのOSINTに隠れた需要…?  この回の講演があった日、いつにも増して私のブログPVが 増えていた  どういう検索ワードで流入しているか確認  “OSINT バス”で検索された方が大勢いた模様 ブログpv

    google search consoleのクリックされた検索ワード一覧より

42. まとめ  Security Daysの講演メモ4つをスライドにおこしたものを 発表した  パスワードは使い回さないようにしよう  写真からは思っている以上に情報を引き出せる 

    公開する時は十分注意しよう

43. 参考文献  OSINTによるマルウェア調査  https://speakerdeck.com/ctrl_z3r0/investigating-malware- 20191030  「サイバー攻撃と戦う『ホワイトハッカー』のお仕事と は？」杉浦隆幸さん ,

    近藤弥生子さん - YouTube  https://www.youtube.com/watch?v=TcVeKCgGOQk

44. ご清聴ありがとうございました