遠隔操作ウイルス騒ぎは鎮静化、一方でAnonymousが再度躍動：セキュリティクラスタまとめのまとめ 2012年11月版

遠隔操作ウイルスによる誤認逮捕事件はある程度沈静化し、国内は比較的落ち着いた雰囲気だった一方、海外では、イスラエルやシリアなどでAnonymousなどハクティビストの活動が再び活発になりました。

» 2012年12月14日 18時00分公開

[山本洋介山，＠IT]

　遠隔操作ウイルスによる誤認逮捕事件はある程度沈静化し、国内ではクレジットカードや銀行のWebサイトにいくつか問題が起こったものの、比較的落ち着いた雰囲気でした。一方海外では、イスラエルやシリアなどでAnonymousなどハクティビストの活動が再び活発になり、クラスタ内外から再び注目を集めた11月でした。

遠隔操作ウイルスによる誤認逮捕事件、犯人いまだ見つからず

　先月大きな話題となった遠隔操作ウイルスによる誤認逮捕事件ですが、真犯人が見つかる気配はまだないようです。とはいえ何も起こらなかったわけではなく、「犯人らしき人が1度だけ、匿名化せずに2ちゃんねるに書き込みを行った」という報道が流れました。

　この報道に対するセキュリティクラスタの反応は、「同じスレッドで『Tor』を使って匿名化しているのだから、意識して踏み台を使った書き込みを行ったに違いない」「匿名化せずに書き込みを行ったことは以前から知られていたはずなのに、いまさらリークされるなんて捜査が進んでいない証拠ではないか」と冷ややかなものでした。

この話、書き込みが発見された当初から言われていた話なので捜査の進み具合は芳しくないのでしょうか。Torスレにも同一のIDで書き込みがあります。twitter.com/piyokango/stat…
— piyokango　　　　　　　.exeさん (@piyokango) 11月 10, 2012

　しかしながらこの報道に「真犯人」が反応し、多数の人に、自殺を匂わせる内容の敗北宣言とも取れるメールを送信したことが明らかになりました。警察はこのメールに添付されていた写真ファイルのExif情報を基に捜査を行ったようです。

　ただ、Exif情報の読み取りに失敗したのか、それとも深読みしたのかは不明ですが、警察はなぜか千葉県と神奈川県という離れた2カ所で捜査を行います。けれども結局何の進展もないままで、TLの反応も相変わらず冷ややかなものでした。

遠隔操作の人が敗北宣言の件は「犯人に手落ちがあったにもかかわらず依然として犯人を捕まえれない警察」を演出する事が目的だったりして。あと仮に捕まえても状況証拠しか無いのが関の山だったりして。
— Kumazaki Hirokiさん (@kumagi) 11月 14, 2012

　その後なぜか捜査陣は、2ちゃんねるの関係会社を捜索したり、海外に手掛かりを探しに行ったりしているようです。これに対しても、「捜査を名目に海外旅行にでも行くんじゃないのか」と、あまり期待もされないまま時間だけが過ぎています。

【関連記事】

遠隔操作事件「自殺予告メール」に見られる不自然な点　「釣りでは」と疑う声も

http://www.itmedia.co.jp/news/articles/1211/14/news029.html

Anonymousの活動が再び活発に、「OpIsrael」実施

　イスラエルによるパレスチナのガザ地区への空爆に対し、Anonymousが抗議活動として、「#OpIsrael」という名称でイスラエルの政府系サイトや銀行のサイトなど多数のWebサイトに対して攻撃を行いました。

　目立った攻撃としては、イスラエルの主要銀行の1つであるバンク・オブ・エルサレムのデータベースを破壊して顧客の情報を消去したり、イスラエル政府関係者のメールアドレス、電話番号など個人情報5000人分のファイルを暴露するといったものがありました。また、MSN、Windows Live、Skypeなど、イスラエルのマイクロソフト関係サイトが相次いで改ざんされました。

　攻撃総数は4400万回以上、DDoS攻撃によってダウンしたサイトの数は600以上に上ったということです。

アノニマスがイスラエルのWebサイトハックして、メールとパスワードを絶賛公開中gizmodo.co.uk/2012/11/anonym… #GazaUnderAttack
— 山田ボンヤスキーさん (@Casanoving) 11月 17, 2012

４４００万回に及ぶ、とんでもない卑劣で悪質な攻撃を受けているとの印象を広げたいということか。... fb.me/28vhBfGUu
— 西本逸郎NISHIMOTO Itsuroさん (@dry2) 11月 19, 2012

　#OpIsraelによって、物理的な攻撃に対するインターネットによる反撃が、目に見える形で政府機関にそれなりのダメージを与えました。この事実を踏まえ、「戦争の形が変わってきている」と、セキュリティクラスタだけでなくさまざまな人の注目をこれまで以上に集めていました。

　Anonymousは#OpIsraelの後も、「ガイ・フォークスの日」に合わせて宣言を行ったり、エジプトの争乱に対して「#OpEgypt」の活動を復活させたり、インターネットの接続が遮断されているシリアに対して宣戦布告を行い、ベルギーのシリア大使館サイトの改ざんを行いつつシリアからのインターネット接続を確保したりと、活発に活動しているようです。

ニコスカードのパスワードがある日突然8桁に？

　最近では、クレジットカードの利用内容の照会や支払方法の変更などが気軽にWebから行えるようになり、利用している人も多いと思います。このようにWebから利用できるカードの1つに三菱UFJニコスカードがありますが、11月になって突然、サイトにログインするために使うパスワードの仕様が変更されました。これまで制限がなかったパスワードの長さが、6～8桁に制限されるようになったのです。

　そのため、もともと9桁以上の長さで設定していたパスワードは8桁に切り詰められることになってしまいました。これが原因となり、もともと設定していたパスワードでサイトにログインできなくなった人や、認証失敗を繰り返してIDを失効した人がたくさんいたようです。Twitterでこの被害についてつぶやく人も少なくありませんでした。

　同時期、ニコスから「今後はパスワードを9桁以上入れたらエラーにするから、先頭8桁を入力してくださいね」という連絡を受け取った人も多くいたそうです。この連絡には、「実はこれまでも、9桁以上設定されていたパスワードでも、内部的には8桁目までしか見ていなかったの、テヘ」という告白がさらっと書かれていたりしました。これを受けて、「このご時世、パスワードが長くなるならまだしも、短くなるってどういうことよ!?」「つか、今ごろ8桁しか見ていなかったとかいうなよ！」など、ログインできないことも相まって大騒ぎとなりました。

NICOSから信じられないメールが来た。要約：「実は今まで9文字以上のパスワードでも頭8文字だけしか判別してなかったんだ。今後は9文字以上入れるとエラーになるから、パスワードは6~8文字でお願いね」　パスフレーズを使って長いパスワードにする時代の流れなのに、逆行とか笑えない、、、
— Youhei Kondouさん (@dw3w4at) 11月 19, 2012

　セキュリティクラスタでは、ニコスカードの内部でパスワードがどのように保持されていたか、そして短くなった理由はなぜかを考察する人も現れました。例えば、

切り詰めできることから、ハッシュ化せずにパスワードを保持してたのではないか
仕様上8桁以上は自動的に切り捨てられる、DESという方式で暗号化されて保管されていたのではないか
実はフォームに「maxlength=8」が指定されていたために、8文字以上で登録したつもりが8桁で登録されていたのではないか

という意見がありました。そして、桁数が短くなったのは、こうした古いパスワード保管の仕組みを長いパスワードに対応させるための布石ではないかという意見も見られました。

@smellman gist.github.com/4129717 「セキュリティ的な意味での」改悪ではないです。9文字以上送ってエラーになるようになったのがアルゴリズム変更によるものであれば、むしろ長いパスワードに対応するための布石です。
— malaさん (@bulkneets) 11月 22, 2012

【関連リンク】

NICOSパスワード8文字切り詰め制限祭りまとめ - Togetter

http://togetter.com/li/410227

　クレジットカード関連ではこのほかにも、楽天カードで、別途確認を行うことなくネット上だけで暗証番号が確認できるようになり、「第三者にカード番号を知られてしまうのではないか」と騒ぎになる一幕もありました。