Loading...
ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

顔認識を用いたソーシャルメディアマッピング: ペネトレー ションテスターとレッドチームのための新しいツール

インテリジェンスの収集は時間がかかるプロセスです。通常、さまざまなソーシャルメディアサイト で人のオンラインプレゼンスを見つけることから始めます。これは比較的簡単な作業ですが、大規 模に行うとなると非常に面倒になります。しかし、これが数百人または数千人というような単位で、 大規模に自動化されて実行されるとすればどうでしょうか?

今回紹介するオープンソースのインテリジェンスツールである るソーシャルマッパーは、顔認識を使 用して、多数の異なるサイトにわたってソーシャルメディアのプロファイルを大規模に相関させま す。倫理的なハッキングサービスを提供する Trustwave は、クライアントに代わって多数のペネト レーション(侵入)テストとレッドチームサービスにおいて、このツールを使用して成功を収めまし た。人の存在を正確に検出してグループ化し、結果をヒューマンオペレーターがすばやく確認でき るレポートに出力するために、個人の名前と写真について人気のあるソーシャルメディアサイトを 検索する自動化されたアプローチを採用しています。

Social Mapper は、以下のソーシャルメディアプラットフォームをサポートしています。

  • LinkedIn
  • Facebook
  • Twitter
  • Google+
  • Instagram
  • VKontakte
  • Weibo
  • Douban

それは主に、ペネトレーションテスターやレッドチームが、ソーシャルメディアのフィッシングシナリ オでターゲットリストを拡張するために使用することを目的としています。その主な利点は、プロフ ァイルマッチングの自動化とレポート生成機能にあります。セキュリティ業界は、タレント不足と急 速に進化する敵と常に戦い続けているので、ペネトレーションテスターの時間が最も効率的な手段 として利用されることが不可欠です。

ソーシャルマップマッパーが実行され、あなたがレポートを入手したら、次にすることは、あなたの 想像力次第ですが、いくつかのアイデアを紹介します。

  • ターゲットを「友人」にするための偽のソーシャルメディアプロファイルを作成し、リンク先に クレデンシャル取得のリンク先ページやダウンロード可能なマルウェアへのリンクを送信し Trustwave SpiderLabs Blog – August 8th, 2018 Copyright © 2018 Trustwave Holdings, Inc. All rights reserved. 2 ます。最近の統計によると、ソーシャルメディアのユーザは、電子メールで配信されたもの と比較して、リンクや開いている文書をクリックする確率が 2 倍以上になっています。
  • ユーザに彼らの電子メールや電話番号を証拠付きで開示するように騙し、フィッシング、ビ ッシング、スミッシングに振り向けるために提案します。
  • ターゲットにアカウントがあることを理解し、各ソーシャルメディアサイトのカスタムフィッシン グキャンペーンを作成します。彼らのプロフィール画像を電子メールに含めることで、これら をよりリアルなものにします。パスワードの再利用のためにパスワードを取得します。
  • 従業員アクセスカードバッジを探してターゲットの写真を閲覧し、自身をビルの内側に慣れ させる。

アイデアはこの辺にして、それがどのように機能するかを見てみましょう:

低いレベルでは、ソーシャルマッパーは 3 つの主要段階を経て動作します。最初のターゲット解析 は、入力した内容に基づいてターゲットリストを作成します。ソーシャルマッパーターゲットは、その 人物の名前と写真で構成されます。これらは、csv ファイル内のリンク、フォルダ内の画像、または LinkedIn 上の会社に登録された人を介して提供されます。

Picture1 名前とリンクを含む CSV 入力タイプの例

Picture2 名前付き画像を持つ画像フォルダの入力タイプの例

Picture3 LinkedIn 社からの企業名入力型の例

ターゲットが処理されると、ソーシャルマップのステージ 2 が始まり、オンラインでこれらの人々を 検索し始めます。これは、Firefox ブラウザーを装備し、前述のサポートされているソーシャルメディ アサイトにログインし、名前でターゲットを検索し始めます。この検索結果(通常は 10〜20)からトッ プの結果を取り出し、プロフィール画像をダウンロードして顔認識チェックを行い、マッチングを行 います。ツール起動時にさまざまなパラメータを使って、実行方法を次のようなオプションで微調整 することが可能です: 最一致の発見後も、より良いものを見つけるために検索を継続するかどう かや、合法的なプロフィールがないリスクに対して極力偽陽性を除去するために顔認識の閾値を 変更する。

Picture4 Facebook と Instagram のアカウントに一致する、単一ターゲット上で動作するソーシャルマッパー

Picture5 LinkedIn の検索を終了し、Google+の検索に移動するソーシャルマッパー

プログラムのこの段階では、実行に時間がかかることがあります。1000 人のターゲットリストでは、 選択されているオプションに応じて 15 時間以上かかることがあり、大量の帯域幅を使用すること があります。私は、これらの理由から、インターネット接続の良いマシンで夜間にこのツールを実行 することをお勧めします。

すべてのソーシャルメディアサイトがチェックされると、ツールの第 3 段階が開始され、レポートと データの生成が開始されます。ソーシャルマッパーにはさまざまな出力があります。ターゲットリス トのプロファイルページへのリンクとより視覚的な HTML レポートを含む csv ファイルを生成しま す。このレポートは、結果を素早く確認して検証するのに便利です。

Picture6 ソーシャルマッパーの HTML レポートの例

Picture7 ソーシャルマッパーCSV レポートの例

また、個人の名前、提供されたフォーマットに基づいた可能性のある仕事用の電子メール、プロフ ィールへのリンクでチェックされた各サイトに対するリストを生成するオプションもあります。この目 的は、特定のサイトでソーシャルメディアのプロフィールを持っていることを知ってフィッシングキャ ンペーンを進めることに役立ち、さらに、現実感を増すために彼らのプロフィール画像を含む文章 を対象にすることができます。

Picture8 Facebook の CSV 出力の例

残念ながら、企業のプライバシー上の懸念から、この記事では大量のターゲットに対してソーシャ ルマッパーが実行されていることを示すことができませんでした。私は LinkedIn Company で試してみることをお勧めします。ソーシャルマッパーの実感をもっていただくために、以下にぼやけた画 像を示します。

Bluured1

大企業で実行された場合のソーシャルマッパーの CSV レポートの例。 759 件が見つかった結果です。

私はあなたが有用なツールを見つけて、それを新しく革新的な方法で使うことを願っています。こ のツールに関する詳細は、 「Trustwave SpiderLabs GitHub」ページを参照してください。改善のた めのアイデアがあれば、見つけたバグを報告してください。もちろん、ソーシャルマッパーを使用し た成功事例があれば、@Jacob_Wilkin で私にツイートしてください!

Picture9