12月は、遠隔操作ウイルスによる誤認逮捕事件やハクティビストの活動がおとなしくなってきた一方で、年も押し迫った頃になってGmailアカウントの乗っ取りが続出し、大騒ぎになりました。
12月は、遠隔操作ウイルスによる誤認逮捕事件やハクティビストの活動がおとなしくなってきた一方で、Gmailアカウントの乗っ取りが続出したり、佐賀県武雄市長が先導する「FB良品」のセキュリティ問題が話題となりました。また、トレンドマイクロによる誤検知や「セッションアダプション」というあまり聞き慣れない脆弱性の深刻さをめぐる議論も話題となりました。
クリスマスの前後、Twitterではさまざまなアカウントで「Googleアカウントを乗っ取られた」という報告が相次ぎました。
中には、「がりらぼ」というWebサイトの管理人さんやうめけんさんなど、ネットでそれなりに名を知られている人も乗っ取りに遭いました。スパムが送信されたことを他の人から指摘されて初めて、乗っ取りに気付いた人も多かったようです。もしかすると、まだ乗っ取りに気付いていない人もいるかもしれません。
さて、タイムラインでは、「乗っ取られた」という事実を報告するツイートはたくさん見かけたのですが、「どのようにして乗っ取られたか」となると、人によってまちまちでした。
「#GmHackHigai」というハッシュタグでは、事例を共有したり、対策についてツイートがなされています。これによると、「SNSにログインしたときに盗まれた」「中国からメールが送られてきた」、あるいは「スパムメールに空メールを送って確認したら乗っ取られた」など、思い当たる節は人それぞれです。
うちの妹のGmailアドレスも例の乗っ取りにやられたんだけど、妹はスマホ持ってないし公衆無線LANも使ったこと無い。アドはわたしとの連絡とネット買い物のみで使ってるはず…原因なんなんだろう #GmHackHigai
— まるさん (@maruyamaa) 12月 27, 2012
Gmail乗っ取りが大流行中!被害報告まとめ - togetter togetter.com/li/428959 #GmHackHigai
— Yuichiro Kobayashiさん (@langstat) 12月 26, 2012
雲をつかむような今回のアカウントハックですが、フィッシングなどでパスワードを盗まれたのか、弱いパスワードを設定していたためにパスワード攻撃に遭ったのか、それともマルウェアなどに感染してセッションハイジャックされたのか……など、さまざまな推測がセキュリティクラスタには流れていました。
原因はよく分からないながらも、一番の対策としては「Googleが用意している二要素認証を使うといい」との意見がセキュリティクラスタでの大勢を占めています。とはいえ「二要素認証を使っていても乗っ取られた」というツイートもありました。乗っ取られないよう事前にできる対策を講じるとともに、万一「乗っ取り」に遭っても早めに気付けるよう、注意して使うしかないようです。
@h_okumura パスワードを変えられたという被害を見ないので、gmailのセッションクッキーを盗むマルウェアのような気がしています。パスワードと2段階認証キーを盗むより簡単ですし。証拠はありませんが… #GmHackHigai
— K.Suematsu @ pascalさん (@pascaljp) 12月 28, 2012
フィッシング等には、かなり気をつけていても今回被害にあったので、もはや「2段階認証プロセス」の有効化は必須だと思いました。まだの方、ぜひ。Googleのヘルプ☞ support.google.com/accounts/bin/a…#GmHackHigai
— Gentaさん (@gnta) 12月 28, 2012
市のWebサイトをFacebookに移行したり、図書館とTSUTAYAを融合させようとするなど、他の市とは少し違った取り組みでネットで少しだけ話題になっている武雄という市が佐賀県にあります。その武雄市長の先導で作成された、「FB良品」というFacebookページがありました。Facebookを利用して、地方の特産品の販売に結び付けようという意図で企画されたものです。
このサイトが12月、Web通販ポータルサイトとしてリニューアルオープンされたところ、すぐに脆弱性やセキュリティ的な問題点がいくつも見つかり、「ネット通販サイトを運営できるレベルじゃない」と大騒ぎになりました。
wikipediaのXSSの欄に書いてある<script>alert("警告")</script>をFB良品(fb-ryohin.jp)で試したら見事に出たw twitter.com/tkou1024/statu…
— tk1024さん (@tkou1024) 12月 9, 2012
実は、トップページを除いただいたいの部分の問題は、FB良品が使用しているASP側にあったようです。それでも、「そんな脆弱なASPを選ぶことに問題がある」「それはともかく、自ドメインでSSLを使わない通販サイト(決済のやりとりだけはASPサービスのドメインを使いSSL上でやりとりが行われます)ってどうよ?」と、手厳しい声が多く見られました。
しかも、指摘に応じて粛々と脆弱性が修正されればよかったのですが、市長とサイトを構築した会社からは、SSLを使っていないページにもかかわらず「SSLで暗号化しているから大丈夫」とか、修正しきれていないにもかかわらず「脆弱性は修正された」など、セキュリティクラスタとは大いに認識にずれのあるツイートを繰り返し、年末までくすぶり続けることになっていました。
1月になって、ASP側の脆弱性はほぼ修正されているようです。しかしFB良品のサイトではまだSSLが使用されておらず、セキュリティに関する認識の違いは残ったままのようです。
まだこの虚偽説明を訂正していないのか。fb-ryohin.jp/contents/infor…「ログインボタン押下後の通信及びログイン後に表示される会員情報もSSLにて保護されておりますので安心してご利用ください。※SSLによる暗号化通信は、第三者による情報の盗用、暗号の解読が極めて困難…」
— Hiromitsu Takagiさん (@HiromitsuTakagi) 12月 29, 2012
フリーツールを配布している個人サイトやシニア向けサイトなど、特に悪質なサイトではないにもかかわらずWebフィルタリングソフトで「有害サイト」と誤検知し、しかもなかなか訂正しないことで、セキュリティクラスタ内で今年話題だったトレンドマイクロですが、12月になって、スマートフォンのセキュリティ情報を掲載している一般社団法人日本スマートフォンセキュリティ協会(JSSEC)のWebサイトを誤検知し、アクセスを遮断してしまいました。
これだけでも大きな誤検知です。TLでも「またトレンドマイクロか」と話題だったのですが、2012年の最後にもっと大きな誤検知をやらかしてしまいました。何と、マイクロソフトのサイトです。トレンドマイクロ社のWebフィルタリング製品をインストールしていたPCでは一時、Windows Updateのサイトへのアクセスが遮断されたりもしていたようで、「PCを守るためのソフトがPCのアップデートを阻害する」という何ともいえない状況になっていたようです。
Interscan Webmanager URLデータベース誤登録のお知らせ(トレンドマイクロ) trendmicro.co.jp/support/news.a… 「誤登録URL http://*microsoft.com」。もう笑うしかない。
— 小島 肇さん (@kjmkjm) 12月 25, 2012
さすがにこれはまずいと思ったのか、同社は早速誤検知を修正し、お詫びをサイトに掲載しました。しかし、個人作フリーソフトの誤検知に関する対応をないがしろにする一方で、大手企業には一瞬で対応することを快く思わないツイートも多く見られました。
基本的に、トレンドマイクロは対応の手間の向こう側が見えてないんだろうな。フリーウェア作者としての俺を蔑ろにして、その結果、俺が「ウイルスバスターが入る可能性のあった案件」を他社製ソフトへリプレースしてるから、ライセンス数で言うと100ライセンス以上自社シェアがぶっ飛んでる。
— はむさん (@Imaha486) 12月 26, 2012
【関連記事】
ネットスターのURLデータベースに誤登録、トレンドマイクロ製品に影響
http://www.atmarkit.co.jp/ait/articles/1212/26/news099.html
このほかにも、12月のセキュリティクラスタは以下のような話題で盛り上がっていました。今年はどのようなことが起きるのでしょうね。2012年もTwitterは廃れるどころか、これまでにも増してセキュリティ関係者のつぶやきが増えているように感じました。2013年も引き続きよろしくお願いします。
山本洋介山
猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。
Copyright © ITmedia, Inc. All Rights Reserved.