Security Days Spring 2021のOSINTに関する講演4つの簡易まとめ/os_int_webinars2021spr

by meow

Slide 1

Slide 1 text

Security Days Spring 2021の OSINTに関する講演4つのメモ第７回初心者のためのセキュリティ勉強会（オンライン開催） meow (id: meow_noisy) 2021/05/27(木)

Slide 2

Slide 2 text

背景  今年2,3月に開催されたSecurity DaysでOSINTの講演が 4回分あったので受講  xINT CTFの対策になるかもしれないというのが主な動機  メモを取って聞いていたが、取ったままになっていたので、より内容を理解するためにスライドにおこした

Slide 3

Slide 3 text

注意点  私の発表は間違いを含んでいるかもしれません  スライドを作るにあたって一応、下調べはしていますが、あくまでメモと記憶をもとにしているので、間違った認識のままスライドを作っているかもしれません  その時は申し訳ございません

Slide 4

Slide 4 text

おしながき  Security Daysとは、講演者情報  共通トピック  個別:ランサムウェア  個別:パスワード  個別:テレワーク  個別:画像

Slide 5

Slide 5 text

Security Days  国内で開催されるセキュリティカンファレンス  最新の脅威動向とセキュリティ対策に関するセッション、展示  オンライン視聴可能なセッションもあり  主催: ㈱ナノオプト・メディア  4日間、複数の場所で開催  2/19 大阪  2/24 名古屋  2/26 福岡  3/3 東京

Slide 6

Slide 6 text

OSINTの講演  講演者:  杉浦隆幸さん(日本ハッカー協会理事)  xINT CTFの作問・運営も携わっている  4日程すべてに登壇。内容は共通トピックと会場ごとの個別トピックからなる  共通トピック  OSINT:ハッカーから見えるインターネットの世界  会場ごとの個別トピック  大阪: ランサムウェア  名古屋: IDパスワードの漏洩  福岡:クラウドサービスとテレワーク  東京: 写真と動画

Slide 7

Slide 7 text

共通: OSINT:ハッカーから見えるインターネットの世界

Slide 8

Slide 8 text

共通トピックの概要  ハッカーはインターネットで何を情報収集しているか  インテリジェンス、OSINTとは  その他

Slide 9

Slide 9 text

ハッカーはwebブラウザで何をみているか  webページのソースコード  求人情報が載っていることも  インスペクションツールを用いて、通信の内容を解析  アクセスしてるホスト  フォント、アナリティクス、…  cookie  web appフレームワークの標準設定だとサーバが不要な情報を送っていることも  サーバのメンテ頻度を伺い知ることができる  json  secretというキーをもつ値があったりする

Slide 10

Slide 10 text

さっくりとwebページの技術調査をしたい時  Wappalyzer  ブラウザの拡張機能の1つ  特徴  webページの使用技術をクリックひとつで出すことができる  ライブラリバージョンから、会社のページのメンテどれくらいの間隔で行われているかを知ることができる。

Slide 11

Slide 11 text

DNSサーバ  注目すべきはMXレコードとTXTレコード  コマンド  $ dig – t MX <ドメイン>  $ dig – t TXT <ドメイン>  MX(Mail eXchange)レコード  メールサーバの場所を知らせるためのレコード  office365やgmail, salesforceを使っていることがわかる  TXTレコード  コメントを置く場所  SPFレコード  メールサーバの場所を教えている  LAN内のIPアドレスが含まれている  これらのレコードはドメインをもつ会社が、外部サービスを使うために必ず設定しなければならない  隠したくても隠せない

Slide 12

Slide 12 text

写真  画像のexifチェック  exif: 写真用のメタデータを含む画像ファイルフォーマット  webサービスによっては消されていないものも  撮影日、撮影場所(右図黄色枠)がわかるかも  exifの確認ツール  webサービスだと『EXIF確認君』  CUIだと『ExifTool』 EXIFの例

Slide 13

Slide 13 text

スマホアプリの遊び方  アプリで遊ぶのではなく、パッケージを解析するという遊び

Slide 14

Slide 14 text

現地での情報収集  wifiからルータ情報の収集  ルータのメーカが一覧として取得できる  大阪会場はHP社が多め  iPhone  テザリングしたままだと「<本名>のiPhone」というSSIDになっている  Bluetoothを通して、近くにいる人が所持している端末の型番がわかるらしい  どうやるのかはわからなかった

Slide 15

Slide 15 text

使える情報へ昇華する  情報は多いほどいいわけではない  判断や行動、意思決定に使えて始めて価値がある  情報のレベルを上げていく必要がある  「情報」のレベル  data(図の下)  存在している情報  information (図の中)  意味のある情報  intelligence (図の上)  分析、統合を経て入手できる利用価値のある情報 intelligence information data 情報の意味づけ分析・統合などで利用価値を向上

Slide 16

Slide 16 text

インテリジェンスのフロー情報A 情報B 入手した情報情報X 入手していない情報情報C 統合分析情報C1 情報C2 情報D こんな情報があるはず(仮説) 情報E ・・・情報の価値  複数の情報を分析、統合、仮説の検証などを経て、より利用価値のある情報にする(information→intelligenceへ情報の価値を上げていくこと)行為自体もインテリジェンスと呼ぶ情報を元に最終的な意思決定へ例) 情報ZからプランPを実施するのがよい

Slide 17

Slide 17 text

 data  ”0312” という文字列  HDDや画面など、ただそこにあるだけの情報  information  “Aさんの誕生日: 0312”  0312がどういう意味なのかを添えた情報とセット  intelligence  Aさんの暗証番号  仮説: 「0312と入力するとクラックできるかも」  informationの情報を複数あつめ、仮説を立てるどういう意味か一例を考えてみる ※間違っているかもしれません。

Slide 18

Slide 18 text

インテリジェンスの種類 https://speakerdeck.com/ctrl_z3r0/investigating-malware-20191030?slide=6

Slide 19

Slide 19 text

OSINTの種類(対象)  ナショナルインテリジェンス  政府、軍事など  ビジネスインテリジェンス  企業情報、従業員など  スレットインテリジェンス  脅威のあるip, マルウェアなど  参考文献に上げたhiroさんのスライド(ばらまき型メールに対するインテリジェンス)がスレットインテリジェンスの一例として参考になる  サイバーインテリジェンス  ドメイン、サーバ、使用している技術など OSINTはインテリジェンスの対象によって行うことが違う。「OSINT技術」という用語を見た時は何の情報を手に入れることか最初に確認したほうが良い

Slide 20

Slide 20 text

OSINTの注意点  ターゲットは我々がOSINTしていることに気づいていることを意識して調査しなければならない  サーバとの通信は1対1  ログはサーバ内に残っている  某SNSでサブ垢を作ってOSINTをしていたら本垢ごとBANされた事例も

Slide 21

Slide 21 text

個別: ランサムウェアダークウェブの説明が多く、一次情報へリーチできませんでした

Slide 22

Slide 22 text

ランサムウェアに対するOSINT  脅迫の種類  暗号化  機密情報の暴露  調査場所  ダークウェブ  何を調査するか  被害範囲  被害の深刻度  復号手段が試せるか  ツール3種類  犯行グループ

Slide 23

Slide 23 text

個別:IDパスワードの漏洩

Slide 24

Slide 24 text

パスワード漏洩  パスワードはだれでも漏れる  原因  eコマース、イベントサイトなどが不正アクセスを受けて流出  パスワード使い回しをしていると、連鎖的に被害に会う https://www.ipa.go.jp/security/keihatsu/munekyun-pw/slideshow/index.html

Slide 25

Slide 25 text

漏洩したID,パスワードのマーケット  ダークウェブに取引所  某国の政府機関のパスワードが平文でXX万件がBTCでいくら  パスワードはだんだん割引される  相対しての取引→公開DBとして販売→無料  サイズでかいのでダウンロード技術が必要

Slide 26

Slide 26 text

漏洩しているか調査するサイト  Have I Been Pwned  https://haveibeenpwned.com/  最近だと facebookの電話番号流出事件にも対応  一般のユーザは黒背景のページは抵抗感をいだきやすいとのこと  入力したメアドもHIBP側に記録される  個人情報流出チェックページ | ノートン  https://jp.norton.com/breach-detection

Slide 27

Slide 27 text

パスワードが漏れる前提での行動  二段階認証  二要素認証  Google authenticatorなど  QRコードを保存するのを忘れてしまって、アカウントリカバリができなくならないように注意

Slide 28

Slide 28 text

パスワード漏洩に関するOSINT手順 1. 漏洩情報の事実を収集  intelligenceX(有料サービス) 2. 組織内で利用しているクラウドサービスを収集 3. 分析  パスワードのみだとどれくらい盗まれるか推定  利用しているサービスからパスワード認証しかないサービスを特定 4. レポート作成 5. レポートに基づいて組織は何らかのプランを実行  例「多要素認証のないサービスは乗り換える」

Slide 29

Slide 29 text

個別:クラウドサービスとテレワーク

Slide 30

Slide 30 text

テレワークの形態は6種類 1. VPN + リモートデスクトップ 2. VPN + 社内ネットワーク 3. シンクライアント 4. クラウドサービス経由で会社の端末に入る  team viewer, logmein 5. ゼロトラスト(社内システム入らず仕事)  office365, google workspace 6. それ以外のクラウドサービス利用どういう形で仕事をしているかOSINT→どこがセキュリティホールそうか→攻撃手段の意思決定もしもVPNに某製品を使用していることがわかったら…

Slide 31

Slide 31 text

DNSへのOSINT  DNSのレコードからVPNサーバを探す  会社のLANの出口が見つかる  そこをポートスキャン  TXTレコードを見て使っているサービスを探す  gmail, officeなど  DNSレコードからどういうサービス使っているかの一覧の載った記事  メールドメインがOffice 365やG Suiteを使っているかどうか判定する  https://qiita.com/Okura_/items/37024fb3adb146fb0d60

Slide 32

Slide 32 text

社員へのOSINT  SNSの書き込みから  「slackが落ちてるっぽい」  「VPNクッソ遅い」  …など  こういった書き込みから、会社の先進感を掴む  M＆Aや標的型攻撃の判断材料として使う

Slide 33

Slide 33 text

個別:写真と動画 ※動画に対するOSINTの説明は無かった

Slide 34

Slide 34 text

写真のOSINT方法3つ 1. 文字情報で検索 1. 店の名前を知りたければメニューで検索 2. 「画像で検索」、類似画像検索  グーグルレンズ  yandex  画像の一部を切り出して検索してくれる  など 3. なぜこの写真を撮ったのか考えて、これにコメントをつけた場合の検索キーを考える(次頁) xintctf 2018より

Slide 35

Slide 35 text

3の補足  右の画像の撮影場所を知りたい  これにコメントをつけた場合の検索キーを考える  例「ちょwww人の顔のビルがあってどちゃくそびびったんやがwww」  「ビル人の顔」で検索  The Barak Building(豪州) であるとわかる CYBAR OSINT CTFより

Slide 36

Slide 36 text

観察力(視ている物の言語化)が大事  写真が与えられた時、文字情報が少ない場合は言語化する  より詳細に xINT CTF2020より

Slide 37

Slide 37 text

観察力(視ている物の言語化)が大事  写真を詳しく観察し、何が写っているかラベルをふる  そこからほしい情報を引き出す  撮影場所  何時?  など xINT CTF2020より青空雲雲山木々田んぼ草むら電信柱ポール道路影看板電信柱バス標識山車電線雲電線電線雲小屋窓軒電柱の取っ手ポール

Slide 38

Slide 38 text

撮影時刻の推定  この画像は2019年にとられたものだが、何月何日何時何分に撮られたか  場所はわかるが、どうするか xINT CTF2020より

Slide 39

Slide 39 text

太陽の位置から撮影時刻を推定可能  webサービス「日の出・日の入り時刻・方角マップ」  https://hinode.pics/

Slide 40

Slide 40 text

日の入り  まだ日没していないことに注意  沈む方角、沈むまでの残り時間も逆算して推定する

Slide 41

Slide 41 text

[余談]バスのOSINTに隠れた需要…?  この回の講演があった日、いつにも増して私のブログPVが増えていた  どういう検索ワードで流入しているか確認  “OSINT バス”で検索された方が大勢いた模様ブログpv google search consoleのクリックされた検索ワード一覧より

Slide 42

Slide 42 text

まとめ  Security Daysの講演メモ4つをスライドにおこしたものを発表した  パスワードは使い回さないようにしよう  写真からは思っている以上に情報を引き出せる  公開する時は十分注意しよう

Slide 43

Slide 43 text

参考文献  OSINTによるマルウェア調査  https://speakerdeck.com/ctrl_z3r0/investigating-malware- 20191030  「サイバー攻撃と戦う『ホワイトハッカー』のお仕事とは？」杉浦隆幸さん , 近藤弥生子さん - YouTube  https://www.youtube.com/watch?v=TcVeKCgGOQk

Slide 44

Slide 44 text

ご清聴ありがとうございました