人々のソーシャル メディア プロフィールを見つけるのは時間がかかり、手作業になることがあります。そこで、顔認識を活用してみてはいかがでしょうか。
これは、ソーシャルエンジニアリングや標的型ハッキングを駆使して顧客のネットワークや施設に侵入しようとする侵入テスト担当者の負担を軽減したいとしている Trustwave の SpiderLabs の売り文句だ。
SpiderLabsのジェイコブ・ウィルキン氏は、新ツール「Social Mapper」はLinkedIn上の組織名、名前付き画像が詰まったフォルダ、あるいは画像URLを含む名前のCSVリストなどから始めることができると説明した。ウィルキン氏は今週、これらの入力情報を用いて、同ソフトウェアの顔認識機能により「複数の異なるウェブサイトにまたがるソーシャルメディアプロフィールを大規模に相関させることができる」と説明した。
言い換えれば、LinkedIn、Twitter、Facebook、Google+(誰もが持っているもの)、Instagram、ロシアのVK、中国のWeiboのプロフィールがすべて異なる名前とハンドル名で登録されていたとしても、Social Mapperはあなたの顔写真と各アカウントページで使用した自撮り写真を照合することで、これらすべてのプロフィールをあなたにリンクさせることができます。
これを組織ごとに繰り返します。例えば、あるチームのウェブサイトから名前付きの写真を何枚かSocial Mapperにアップロードすれば、各チームのソーシャルネットワークプロフィールを全力で探し出し、メッセージを送信して騙すことができるのです。
トロール、インデックス、レポート作成のプロセスは3段階で処理されます。まず、Social Mapperが入力データを解析します。次に、顔認識機能が作動します。
これは時間のかかるプロセスだ。ウィルキン氏によれば、1,000 個のターゲットを検索すると 15 時間かかり、不明なながらも「大量の」帯域幅を消費する可能性があるという。
Social Mapper は著者 Jacob Wilkin を探しています... クリックして拡大
最終段階ではレポートが生成され、ユーザーはソーシャルメディア上の個人を標的としてフィッシング、リンク共有、パスワード盗聴攻撃を行うための出発点を得ることができます。同社の投稿では、攻撃者が写真を覗き見して「建物の内部を把握する」ことも可能であると示唆されており、これは物理的な侵入テストに役立ちます。
Social Mapper の GitHub リポジトリはここにあります。これは Python で記述されているため、Firefox、Selenium API、および Geckodriver ブラウザー プロキシがインストールされている限り、どの OS でも実行できます。®
