ある調査報道チームが、複数の詐欺事件に関わったとされる中規模の決済代行 会社を追っていました。同じ日の午後、二人の記者が軽い気持ちで、オフィスの 社内ネットワークから、その会社のホームページ、経営陣の LinkedIn プロフィール、子会社の「about」ページを次々と開きました。三日後、対象企業 の PR エージェンシーから編集長に電話が入り、記事の進捗を尋ねてきました。 一行も原稿が書かれていないうちに、もう取材は割れていたのです。
ソース自体は公開されていても、そこを見に行く行為のほうはたいてい公開 されていません。サイト側は IP アドレス、セッションクッキー、リファラ、 fingerprint の各種属性、しばしばスクロールの動きまで記録しています。 LinkedIn はプロフィールの持ち主に「誰が覗いたか」を見せます。企業サイトの なかには Clearbit などのリード特定ツールを仕込んでいるものもあり、訪問者 の IP から所属する会社まで割り出します。OSINT では本番の作業はクリックの前にすでに始まっている、というのはそういう意味です。
調査員が無自覚に漏らしているもの
もっとも分かりやすい足跡は IP アドレスです。社内 VPN や地域 ISP のレンジから調べに行けば、勤務先と地理的な位置が相手に伝わってしまいます。 訪問者の IP ログを見ているターゲット(大企業、すでに監視されている人物、 自前のロギング基盤を持っている詐欺グループなど)にとって、それは 「取材が動き出した」最初のシグナルになることが多いのです。
次に来るのがクッキーとログインです。普段使いの Chrome プロフィールで OSINT をするのは、本物の Google アカウントを背負ったまま作業するのと 同じです。ある人物に関する Google 検索はあなたのメールアドレスに ひも付き、YouTube でのひとクリックは「このユーザーはこの話題に関心がある」 とプラットフォームに伝えます。公開ソースから受信トレイまでの距離は、 ときにクッキーの一致ひとつぶんしかありません。
仕上げをするのが fingerprint です。ブラウザの fingerprint は十分に安定しているので、自前の analytics を回しているターゲットなら、クッキーを消したあとでも、複数回の訪問や 複数サイトをまたいであなたを同じ人物として特定できます。仕組みの詳しい 話は Browser Fingerprintingを参考にしてください。
sock puppet アカウントの正しい作り方
sock puppet アカウントは嘘ではありません。本名のプロフィールへ手繰り寄せられない ようにプラットフォームを使うため、わざと自分の身元と切り離してある作業用 アカウントです。鍵になるのは整合性です。名前、生年月日、メールのドメイン、 電話番号、使うデバイス、このあたりがきれいに噛み合っている必要があります。 Facebook や LinkedIn は、アカウントの「シグネチャ」に矛盾があるとすぐに見抜き、新規登録を 容赦なく弾いてきます。
二つ目の鍵はウォームアップ期間です。初日からいきなり 特定の人物を検索しているアカウントは、見るからに不自然です。三週間ほど ふつうの活動を積み重ねてから本命の調査に入るアカウントなら、ノイズに紛れて 消えていきます。本当に必要になる前に、ウォームアップの時間をきちんと 確保しておきましょう。
そして三つ目。sock puppet は一つひとつが自分専用のブラウザプロフィールの中で暮らします。クッキー、 リファラ、fingerprint が共有されると、アカウント同士が結び付けられてしまうので、セッションを 重ねるのは厳禁です。
OSINT 用のブラウザを清潔に保つ
仕事用ノート PC のブラウザは、きれいな OSINT にとって天敵のような存在です。勤務先と紐付いていて、本番用の各種ログイン を抱え、プライベートで訪れるサイトとも fingerprint を共有しています。いちばんシンプルでよく効くルールは、OSINT は普段使いのブラウザで絶対にやらない、その一点です。
きれいな環境には四つの性質があります。クッキーが保存されていない状態で 起動すること。拡張機能がひとつも入っていないこと(拡張は fingerprint の次元をまた一つ増やすからです)。勤務先や自宅と結び付かない IP アドレスを使うこと。そしてセッションの終わりに跡形もなく消えること。 ここまで揃っていれば、あとからデバイスが侵害されても履歴は漏れません。
隔離されたリモートブラウザなら、この四つを自動でクリアしてくれます。 ブラウザはクラウド側で動き、あなたのアカウントとは無関係、自分の ネットワークの外側の IP を見せ、セッション後はまるごと破棄されます。 報道機関や調査チームにとっては、これが標準のインフラになりつつあります。
IP・DNS・タイミングを分離する
IP のクリーンさは、VPN だけで片付く話ではありません。商用 VPN のレンジは調査関連のサイトの多くにとってすでに見知った相手であり、 ブロックされるか、優先的にログを取られるかのどちらかになります。 residential proxy、つまり実在する家庭回線の IP は一見怪しさが薄いものの、出所がはっきりしないと法的にも倫理的にも 地雷原です。落としどころとして現実的なのは、調査内容と整合する国の、 まっとうなデータセンターの IP を使うことです。
DNS の分離は意外と見落とされがちです。VPN トンネルが上がる前に端末が社内リゾルバで DNS を解いてしまうと、 匿名で見に行くつもりだったサイトが、そのまま DNS leak としてさらけ出されます。クラウド上の隔離ブラウザなら DNS の解決を自分のネットワークの外でやってくれるので、このリスクは最初から 消えます。
タイミングも侮れません。同じ報道機関の複数の記者が一時間以内に 同じドメインを叩けば、まともな analytics のスタックならすぐに目立つパターンになります。訪問の時間帯はずらし、 局所的なスパイクは作らないようにしてください。
長く続けられるワークフロー
「ちょっとだけ確認」というのが、取材が割れる原因のなかではいちばん多い パターンです。長く続けられるワークフローというのは、要するに、調査用の 環境を普段のブラウザよりも素早く開けるようにする、ということです。 ブックマーク、デスクトップのショートカット、隔離セッションを直接立ち 上げるランチャーの項目。こうしたささやかな仕掛け一つで、きれいな取材経路 と焼き切れた経路の分かれ目が決まります。
どんなに短いセッションでも、必ず記録を残してください。スクリーンショット はセッションの中で撮り、セッションの中から書き出します。スクリーンショット そのものに身元を示すメタデータが乗ることはまずありませんが、それを撮った ブラウザプロフィールには、たいてい乗っています。
どんな端末でも、デスクトップ並みの快適さを。
Browser.lol を無料で試して、スマホやタブレットでも PC 並みの快適さを体感してみませんか?
デスクトップブラウザを試すダウンロード不要・どんな端末でも動作
