セキュリティ調査に役立つブラウザ拡張機能のまとめ
おはようございます。しなもんです。
今回はセキュリティ調査に使える便利なブラウザの拡張機能 (アドオン・エクステンション) をご紹介します。
こうした拡張機能の多くはこの世で唯一無二の機能を持っているわけではありませんが、普段から一番よく使う調査ツールである「Web ブラウザ」に直結するため、手間の節減や各種オンラインサービスへのアクセシビリティ向上に大きな効果を発揮する場合があります。
- 前提
- Mitaka
- IP Address and Domain information
- Link Redirect Trace
- User-Agent Switcher
- Flagfox
- IP Domain Country Flag
- Wappalyser
- anonymoX
- Wayback Machine
- Exif Viewer/EXIF Viewer Pro
- Simple Translate
- Mouse Dictionary
前提
・網羅性はまったくありません。
私が使ってみてよかったものを紹介しているにすぎません。
他にも有用なものは多数あると思われます。
・「スクリプト・広告・トラッキング防止系」「ダウンロード支援系」「スクリーンショット支援系」の拡張機能は紹介しません。
必要ないというわけではありません。
これらはセキュリティ技術者以外にも需要のある分野なので、もっと充実したまとめがすでにあるからです。
・ブラウザとして「Mozilla Firefox」「Google Chrome」を扱います。
掲載しているスクリーンショットは Firefox のものです。
なお、匿名性で有名な「Tor Browser」は Firefox ベースなので、おそらく Firefox に対応しているものは導入可能だと思われますが、保証はできません。
・紹介している拡張機能が安全であることの保証はできません。
ご利用は自己責任でお願いします。
Mitaka
日本生まれの超強力な調査ツールがこの "Mitaka" です。
何ができるのかというと、
1. 何か (ドメイン名、IP アドレス、URL、ハッシュ値など) を選択
2. 右クリックメニューから "Mitaka" を選択
3. 選択しているものの種類に応じた調査サービスリストが出現
4. 適当なサービスを選ぶと、そのサービスに対して選択中の値を検索値として投げる
というものです。
つまり右クリックメニューから各調査サービスを呼び出せるのです。
URL やドメイン名の場合は、http → hxxp や .com → [.]com のような無害化 (Defang といいます) も自動で修正してくれます。
例えば Defang された URL を選択して右クリックすると、
(例に使っているのはこの記事)
右クリックメニューに "Mitaka" が現れるので、ここから使用するサービスを選びます。
ここでは VirusTotal を選択しています。
何かを調べようとしたときに、そのサービスをブックマークや検索エンジンからいちいち起動するのは意外と面倒なものです。
調べたい値がブラウザ上に表示さえされていれば、Mitaka を使えば一発で検索値の投入まで完了するので、ストレスなく多数のサービスを用いて調査できます。
VirusTotal・urlscan.io・Hybrid Analysis の 3サービスは API キーを登録することで機能が向上します。
どれも有用なサービスなので、個人的には登録推奨です。
こうした各種調査ツールは、「どれだけ知っているか」も重要ですが、「どれだけストレスなくスムーズにアクセスできるか」も大事です。
私は Mitaka のほか、ブックマーク、自作のリンク集、IntelTechniques が提供しているカスタムサーチツール (に手を加えたもの) を併用しています。
もちろんこんなになくても問題ないんですが、やりたいことに対するアクセス法はいろいろ用意しておいて、状況に応じて適切な手段 (あるいは単にその時最初に思いついた手段) を使うのが個人的には便利ですね。
本題からは外れますが、IntelTechniques Custom Search Tool について関心をお持ちの方は次の本を是非。
ライセンスの都合上再配布ができませんので、本文に記載された URL とパスワードによって各自でゲットしてください。
Open Source Intelligence Techniques: Resources for Searching and Analyzing Online Information
- 作者:Bazzell, Michael
- 発売日: 2021/01/01
- メディア: ペーパーバック
IP Address and Domain information
今見ているサイトの IP アドレスや whois 情報をすぐ確認することができます。
これも別の調査ツールを立ち上げてドメイン名なり何なりを入力して調べれば済む話といえばそうなんですが、調べたいと思ったときにワンクリックで解決できるのは非常に快適です。
Link Redirect Trace
リダイレクトの様子や HTTP ヘッダを確認することができます。
下は適当なサイト *1 を訪れてみたところです。.vn の URL からリダイレクトされて .ru のサイトに行き着いたことがわかります。
HTTP ヘッダも確認することができます。
URL を入力するとリダイレクトの様子などを調べてくれるツールは他にもあります (例えば httpstatus)。
また、Burp Suite や Fiddler などのローカルプロキシを用いて調べることもできます。
一方で、代理アクセスツールは必ずしも実際にアクセスしたときと挙動が一致しない欠点があり、ローカルプロキシは強力ですが事前に起動しておかないと意味がありません。
あらかじめブラウザにインストールさえしておけば、意図せず踏んでしまったときなどを含めて、実際に Web サイトが表示されてからでも調べられるのがこの種の拡張機能の利点です。
(もちろん踏まない方が安全なのは言うまでもありませんが)
User-Agent Switcher
Web サイトにアクセスするときの User Agent を変更します。
つまり、実際とは異なるブラウザや OS を装ったり、実際には PC からのアクセスなのにモバイル端末からのアクセスであるかのように振る舞ったりできます。
サイトによってはアクセス元の環境によって反応を変えたり、特定の環境からでなければ何も表示しない場合があります。
そうしたサイトを調査するのに便利です。
例えば PC から普通にアクセスすると大したことがないのに、モバイル端末を偽装してアクセスしたときだけ悪性コンテンツが現れるようであれば、モバイルユーザを狙う意図がある可能性が高いといえます。
「Web サイトの運営者にこちらの素性を掴ませにくくする」目的での使用も考えられますが、アクセス元に関する情報は User Agent だけではないので、その他の情報 (IP アドレスなど) も含めて偽装しないとあまり有効じゃないような気がします。
Flagfox
対応ブラウザ:Firefox
ブラウザのアドレスバーに Web サーバがある国の国旗を表示します。
マウスオーバーすることで追加の情報が出てきます。
例えば urlscan.io を見てみましょう。
urlscan.io の運営はドイツの会社なので、「サーバー所在: ドイツ」は自然なことです。
「ドメイン国籍: イギリス領インド洋」というのは要するにトップレベルドメインの ".io" が表す国を表示しているだけです。
右クリックするとさらに様々なサービスを呼び出せます。
IP Domain Country Flag
対応ブラウザ:Chrome
Chrome では Flagfox が使えませんが、代わりに使えるのが IP Domain Country Flag です。
見た目はシンプルですが、IP アドレスやドメイン名をクリックすれば DNSlytics に遷移して調べることができます。
Wappalyser
Web サイトに使われている技術 (CMS やフレームワークなど) を列挙できます。
これも競合サービスがあるのですが (有名なのは builtwith)、今見ているサイトについてワンクリックで調べられるのがブラウザ拡張機能の強みです。
自分で使うのもさることながら、防御側の視点では、攻撃者がこうしたツールを使えば (特別な工夫をしていない限り) Web サイトに使われている技術を丸裸にされてしまうものだということには自覚的であった方がいいでしょう。
脆弱なバージョンを使っている場合、それも丸見えになってしまいます。
anonymoX
手っ取り早く自分の IP アドレスを変更できます。
もちろん本当に IP アドレスが変わっているわけではないのですが、anonymoX が管理している海外のプロキシサーバを経由するので、最終的にアクセスされた Web サイト側からはこちらの IP アドレスが見えなくなります。
結果として Web サイト運営者から身元を隠すことができます。
効果を確認するために、anonymoX をオンにした状態で、こちらの IP アドレスを確認できるオンラインサービスにアクセスしてみます。
いろいろありますが、今回はそのものズバリな名前の WhatIsMyIP.com を利用します。
IP アドレスだけだとわかりにくいですが、耳慣れない名前の ISP ですし、Location がアムステルダムになっています。
ダメ押しでこの IP アドレスを iplocation.net で調べてみましょう。
文句なしに「オランダからアクセスした」ことになっていることがわかります。
(晒すわけにはいきませんが、anonymoX を無効化すると、私の環境の場合 WhatIsMyIP.com はちゃんと?日本の ISP の IP アドレスを表示します。)
単純に悪性サイトの運営者から身元を隠したい場合のほか、アクセス元の国・地域によって挙動を変えるサイトの調査にも便利です。
日本からのアクセスとそれ以外で挙動を変えるサイトの調査例↓
なお無課金では転送できるデータ量に制限があるようなので、ここぞという場面でだけ使用することをおすすめします。
また、理由や細かい条件はよくわかりませんが、anonymoX で IP アドレスを偽装すると利用できなくなるサービスもあるので、その観点でも普段は Inactive にしておいたほうがいいでしょう。
Wayback Machine
Wayback Machine は Internet Archive が運営するデジタルアーカイブサービスです。
すでに存在しない Web ページや過去のバージョンが保存されていて、後から見ることができます。
拡張機能としては、ツールバーや右クリックから、保存されている
- 最初のバージョン
- 最新のバージョン
- 全てのバージョン
を見ることができるほか、手動でページを保存することもできます。
ただ、たまたま何も保存されていないこともありますし、Web ページの設定によっては Wayback Machine を拒否することもできるので、必ず有用な情報が得られるとは限りません。
Exif Viewer/EXIF Viewer Pro
対応ブラウザ
写真に含まれるメタデータ "Exif" を見ることができます。
Firefox 向けの Exif Viewer と Chrome 向けの EXIF Viewer Pro は互いに無関係のようですが、使用目的が同じなのでここでまとめて扱います。
Exif は撮影機器が写真に付与するメタデータで、カメラの情報や撮影日時のほか、機器の機能や設定次第では位置情報も含んでいることがあります。
大手の SNS ではアップロード時に自動で削除する設定になっているそうですが (でなければとっくの昔に特定騒ぎがあちこちで起こっているでしょう)、そうでないサイトの場合は、アップロードする画像の Exif から本来開示したくない情報が流出していないか気にした方がいいと思います。
Exif を見るための方法はいろいろあるのですが、Web サイト上にある画像であれば、いちいちダウンロードせずブラウザ上で見られる方が便利です。
ここでは、過去記事で例題に使った画像の Exif を見てみましょう。
例では Exif Viewer (Firefox) を使っています。
画像の上で右クリックから "Exif Viewer" を選ぶだけで簡単です。
撮影機器などに関する情報がばっちり残ってますね。
はてなブログはアップロードされた画像から位置情報は自動で削除しますが、それ以外の情報はそのまま残す仕様のようです。私も実際にやってみて初めて知りました。
Simple Translate
いわゆる機械翻訳です。使用している翻訳エンジンは Google 翻訳です。
機械翻訳の進歩は著しいのですが、決して間違わないわけではない、というかしょっちゅう間違うので付き合い方が大切です。
私は英語の場合は*2ある程度長ければまず翻訳エンジンを使い、不自然なところやうまく解釈できないところがあれば原文に戻って英語で読む、というスタイルです。
全部英語のままでも読めないことはないのですが (あくまで IT 系の文章に限った話で、哲学とか文学とか法律とかの分野ではそうもいかないでしょうけど)、分量が多い場合は時間がかかりすぎるので、たまに原文を参照する手間を考慮しても日本語化したほうがたいてい早いのです。
短い場合はそのまま読んだ方が早いことが多いです。
要するに私にとっての英日機械翻訳は時短のためのサービスなので、呼び出すための手間・時間の少なさがとにかく重要です。
Simple Translate は「訳したい部分を選択」→「ポップアップアイコンをクリック」→「一瞬で訳文が出現」という流れでタイムロスが少ないので愛用しています。
ページを丸ごと翻訳してしまうこともできます。
Google 翻訳だろうが DeepL だろうが機械翻訳は間違う*3ので、本当はそれを前提にして恩恵を享受すべきなのですが、これを突き詰めると「自分で読めない人は機械翻訳も使うな」ということになり、それも違うなと思っています。
読めないからと言ってまったく見向きもしないよりは、ミスに目をつぶってでも機械翻訳を活用して読んだ方がましだからです。
Mouse Dictionary
(Chrome 向けの方が機能が優れている。例えば Firefox では PDF での利用が不可)
機械翻訳に頼らず自力で読むと決めたら、頼りになるのがこの拡張機能です。
オンにした状態で英単語にマウスオーバーすると、瞬時に辞書を引いて結果を表示してくれます。
「たぶん理論上最速」の看板に偽りなし、本当にカーソルを当てただけで一瞬で完了するので辞書引きそのものへのストレスはまったくありません。
有料辞書の利用が推奨されていますが、デフォルトの無料辞書でも相当に強力です。
是非使ってみてください。
*1:通称「スーパーコピー」、謎の格安時計を扱うサイトです。通販自体偽物かどうかはよくわかりませんが、本当に販売していたとしても商標的にはアウトなので、関わらない方がいい類のサイトなのは確かです。
*2:それ以外の言語の場合は全然読めないので自分で読むという選択肢はありません。幸い「日本語でも英語でもない言語で書かれていて、かつ機密の文章」を扱う機会が私の場合ほぼないので、翻訳エンジンに投げても問題になりません。
*3:DeepL のファンは多いですが、DeepL の特徴である「訳文が自然で綺麗」という点が裏目に出ることも多いので過信は禁物です。なまじ訳文が綺麗なので間違ってる点に気づくのが難しくなりがちです。