Gmail乗っ取りでてんやわんやの年の瀬にセキュリティクラスタ まとめのまとめ 2012年12月版

12月は、遠隔操作ウイルスによる誤認逮捕事件やハクティビストの活動がおとなしくなってきた一方で、年も押し迫った頃になってGmailアカウントの乗っ取りが続出し、大騒ぎになりました。

» 2013年01月16日 18時00分 公開
[山本洋介山,@IT]

 12月は、遠隔操作ウイルスによる誤認逮捕事件やハクティビストの活動がおとなしくなってきた一方で、Gmailアカウントの乗っ取りが続出したり、佐賀県武雄市長が先導する「FB良品」のセキュリティ問題が話題となりました。また、トレンドマイクロによる誤検知や「セッションアダプション」というあまり聞き慣れない脆弱性の深刻さをめぐる議論も話題となりました。

Gmailのアカウント乗っ取り、広範囲に発生

 クリスマスの前後、Twitterではさまざまなアカウントで「Googleアカウントを乗っ取られた」という報告が相次ぎました。

 中には、「がりらぼ」というWebサイトの管理人さんやうめけんさんなど、ネットでそれなりに名を知られている人も乗っ取りに遭いました。スパムが送信されたことを他の人から指摘されて初めて、乗っ取りに気付いた人も多かったようです。もしかすると、まだ乗っ取りに気付いていない人もいるかもしれません。

【関連記事】

Gmail乗っ取りの報告相次ぐ

http://nlab.itmedia.co.jp/nl/articles/1212/27/news036.html


 さて、タイムラインでは、「乗っ取られた」という事実を報告するツイートはたくさん見かけたのですが、「どのようにして乗っ取られたか」となると、人によってまちまちでした。

 「#GmHackHigai」というハッシュタグでは、事例を共有したり、対策についてツイートがなされています。これによると、「SNSにログインしたときに盗まれた」「中国からメールが送られてきた」、あるいは「スパムメールに空メールを送って確認したら乗っ取られた」など、思い当たる節は人それぞれです。

 雲をつかむような今回のアカウントハックですが、フィッシングなどでパスワードを盗まれたのか、弱いパスワードを設定していたためにパスワード攻撃に遭ったのか、それともマルウェアなどに感染してセッションハイジャックされたのか……など、さまざまな推測がセキュリティクラスタには流れていました。

 原因はよく分からないながらも、一番の対策としては「Googleが用意している二要素認証を使うといい」との意見がセキュリティクラスタでの大勢を占めています。とはいえ「二要素認証を使っていても乗っ取られた」というツイートもありました。乗っ取られないよう事前にできる対策を講じるとともに、万一「乗っ取り」に遭っても早めに気付けるよう、注意して使うしかないようです。

「FB良品」、リニューアルで多数の脆弱性指摘

 市のWebサイトをFacebookに移行したり、図書館とTSUTAYAを融合させようとするなど、他の市とは少し違った取り組みでネットで少しだけ話題になっている武雄という市が佐賀県にあります。その武雄市長の先導で作成された、「FB良品」というFacebookページがありました。Facebookを利用して、地方の特産品の販売に結び付けようという意図で企画されたものです。

 このサイトが12月、Web通販ポータルサイトとしてリニューアルオープンされたところ、すぐに脆弱性やセキュリティ的な問題点がいくつも見つかり、「ネット通販サイトを運営できるレベルじゃない」と大騒ぎになりました。

【関連リンク】

FB良品サイトリニューアルでXSS祭りまとめ – Togetter

http://togetter.com/li/420276


 実は、トップページを除いただいたいの部分の問題は、FB良品が使用しているASP側にあったようです。それでも、「そんな脆弱なASPを選ぶことに問題がある」「それはともかく、自ドメインでSSLを使わない通販サイト(決済のやりとりだけはASPサービスのドメインを使いSSL上でやりとりが行われます)ってどうよ?」と、手厳しい声が多く見られました。

 しかも、指摘に応じて粛々と脆弱性が修正されればよかったのですが、市長とサイトを構築した会社からは、SSLを使っていないページにもかかわらず「SSLで暗号化しているから大丈夫」とか、修正しきれていないにもかかわらず「脆弱性は修正された」など、セキュリティクラスタとは大いに認識にずれのあるツイートを繰り返し、年末までくすぶり続けることになっていました。

 1月になって、ASP側の脆弱性はほぼ修正されているようです。しかしFB良品のサイトではまだSSLが使用されておらず、セキュリティに関する認識の違いは残ったままのようです。

トレンドマイクロ、Windows Updateまで有害サイトに指定

 フリーツールを配布している個人サイトやシニア向けサイトなど、特に悪質なサイトではないにもかかわらずWebフィルタリングソフトで「有害サイト」と誤検知し、しかもなかなか訂正しないことで、セキュリティクラスタ内で今年話題だったトレンドマイクロですが、12月になって、スマートフォンのセキュリティ情報を掲載している一般社団法人日本スマートフォンセキュリティ協会(JSSEC)のWebサイトを誤検知し、アクセスを遮断してしまいました。

 これだけでも大きな誤検知です。TLでも「またトレンドマイクロか」と話題だったのですが、2012年の最後にもっと大きな誤検知をやらかしてしまいました。何と、マイクロソフトのサイトです。トレンドマイクロ社のWebフィルタリング製品をインストールしていたPCでは一時、Windows Updateのサイトへのアクセスが遮断されたりもしていたようで、「PCを守るためのソフトがPCのアップデートを阻害する」という何ともいえない状況になっていたようです。

 さすがにこれはまずいと思ったのか、同社は早速誤検知を修正し、お詫びをサイトに掲載しました。しかし、個人作フリーソフトの誤検知に関する対応をないがしろにする一方で、大手企業には一瞬で対応することを快く思わないツイートも多く見られました。

【関連記事】

ネットスターのURLデータベースに誤登録、トレンドマイクロ製品に影響

http://www.atmarkit.co.jp/ait/articles/1212/26/news099.html


セキュリティクラスタ、12月の小ネタ

 このほかにも、12月のセキュリティクラスタは以下のような話題で盛り上がっていました。今年はどのようなことが起きるのでしょうね。2012年もTwitterは廃れるどころか、これまでにも増してセキュリティ関係者のつぶやきが増えているように感じました。2013年も引き続きよろしくお願いします。

  • 各社盛んに今年の総括と来年の予想を公開
  • Galaxy S IIIなど、「Exynos 4」プロセッサ搭載Android端末に重大な脆弱性
  • Anonymousの次のターゲットは過激な教会
  • セッションフィクセイション(セッションアダプション)は重大な脆弱性!? で議論
  • 地震で生き埋めになったとデマツイートを行ったのは高校生
  • GhostShellが#ProjectWhiteFoxとして160万のアカウントをリーク
  • 今度は原子力開発機構がウイルスに感染し情報流出
  • Autorunワーム、ユーザーをだます手口で再び感染急増
  • 匿名性の確保にお墨付きを与える「匿名化委員会」という団体、スタッフに技術を審査する人がいないと叩かれ逃走

著者プロフィール

山本洋介山

bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。