ダークウェブにアップされた写真のExifデータから犯罪者を追跡

『Security Affairs』

October 24, 2016 11:00
by 『Security Affairs』

ダークウェブは、匿名性を守りつつ儲かるビジネスを展開したい犯罪者にとって、夢のような環境だ。しかしそのような状態であっても、身元を明かす可能性がある痕跡を残さないために、考える点はいくつかある。

これまでも、Exifメタデータの分析によって法執行機関や諜報機関は容疑者を追跡することができた。しかし今や、主要なブラックマーケットでの販売者などのサイバー犯罪者は、投稿する写真のメタデータについて気をつけ始めた。このトレンドは、ハーバード大学の2人の学生、Paul LiskerとMichael Roseによる研究で確認された。

「我々の目標は、位置情報を含むメタデータを持つ商品画像を収集・分析するために、ダークネットマーケット(DNM)の長期にわたるアーカイブを活用することだった」と彼らは投稿した記事で説明している

Exifメタデータとは何なのか?

「Exchangeable image file format(JEIDA/JEITA/CIPAの仕様によると、公式にExifと略す)は、画像、音声、および補助的なタグのフォーマットを定義する規格である。これらは、デジタルカメラ(スマートフォン含む)やスキャナー、その他デジタルカメラで記録された画像と音声ファイルを扱うシステムで使用される」とWikipediaにある。

基本的に、デジタルカメラやモバイル機器で撮影された全ての画像には、Exif規格での情報が含まれる。使用された機器や、撮影された場所などだ。

Paul LiskerとMichael Roseは、ダークウェブブラックマーケットで製品やサービスを宣伝するために犯罪者が使用している、ドラッグや武器の画像を分析し、独立のセキュリティ研究者であるGwern Branwenが管理するデータリポジトリに保管した。

このアーカイブはダークウェブの活動を研究しようというセキュリティ専門家には非常に興味深いものだ。ここには80以上のダークマーケットと40ほどの関連するフォーラムのデータが含まれている。情報は主に2013年から2015年に収集されたもので、全体で4400万個のファイルと1.5TBのデータとなる。

「2013年から2015年に私は、DNMの使用法ライフタイム/特徴法的な危険性の研究の一環として、存在するすべての英語のDNMを週ベースあるいは日ベースで収集/ミラーした。収集したものは、ベンダーのページ、フィードバック、イメージなどに及ぶ。加えて、DNMに関連する多数の他のデータセットやドキュメントのコピーを可能な限り作成あるいは取得した。この比類なく包括的なコレクションは、一般に公開されている。コレクションは50GB(無圧縮で1.6TB以下)で、89のDNMと37以上の関連するフォーラムをカバーし、4438以下のミラーがありあらゆる研究に使用できる」とBranwenは記している。

LiskerとRoseは、スクリプトを使ってアーカイブにあるイメージの中から緯度経度情報を含むExifデータを探した。

「各アーカイブにある商品イメージを分析するために、我々はまず確実にすべてのファイルを調べられるよう、全てのJPEG画像ファイルのパスを検索し、リストを作成した(商品イメージに用いられるのはJPEGフォーマットのみで、その他のPNG、GIFなどはウェブサイトの装飾に使われる)。そして、Pythonとbashのスクリプトを用い、各イメージのExifの経度緯度情報をチェックして、ジオタグの付いた写真の座標とファイルのパスをテキストファイルに保存した」とLiskerとRoseは解説している。LiskerとRoseは、位置情報データを持つ229のユニークな画像を発見した。

2人は22万3471のユニークなダークマーケットの画像を分析したが、大多数にはExifデータは含まれていなかった。

「これらのマーケットとフォーラムから、我々は全部で2276のジオタグの付いた画像を特定した。複製や違う日のものを除いた結果、座標に結びついていたのは全部で229の画像だった。プライバシー保護のため小数点以下を除いた座標は、以下の地図(訳注:LiskerとRoseの投稿した記事にある)にプロットしている(座標は実際の場所からおよそ1マイル以内で離れている可能性がある)」と2人は述べている。

Data from lisker.silk.co

「我々は、DNMアーカイブ全体からトータルで752万2284の画像を分析し、22万3471のユニークな写真を得た。ジオタグ付き画像があったマーケットを以下の表にまとめる」

最も人気のあるAgoraのようなブラックマーケットは、公開される画像からあらかじめメタデータを削除していた。Agoraの場合、2014年3月18日すべての画像にメタデータが存在していないことにLiskerとRoseは気づいた。

以下はこの研究の結論だ。2人は、販売者とダークマーケットのWebサイトは画像からExifメタデータを削除し損ねていることを強調している。

「まず、サイトを観察した多くのケースでは、一般的には住んでいる所だろう、数メートル内に散らばった5〜10のタグ付き画像が集まっているものがよく見られた」と2人は投稿している。「これは、たまたまデータを削除し忘れたとか意図があって操作したというよりむしろ、販売者が普通の状態で軽率な行動を取っていることを示唆している。

「また我々は、複数のサイトにわたる商品リストで上記のような集合の事例を複数見つけた。これは、ダークウェブを股に掛ける販売者の活動と、使用しているサイトがどこであれ商品の位置情報を削除し損なっていることを示している。
 
翻訳:編集部
原文:Boffins analyzed EXIF metadata in photos on principal blackmarkets
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…