狙われた「使い回しアカウント」：セキュリティクラスタ まとめのまとめ 2013年4月版

[山本洋介山，＠IT]

　4月は日本のサイトで多数の不正アクセスがあり、パスワード攻撃、その中でも特にどこかから流出したと思しきIDとパスワードのリストを使った攻撃が話題となりました。一方海外では、AP通信のTwitterアカウントが乗っ取られて株価に影響が生じ、サイバー攻撃と現実がリンクすることに、あらためて驚きを感じた人が多かったようです。

　遠隔操作ウイルス事件のその後も引き続き話題となっています。容疑者は再び逮捕されました。また、事件で注目を集めた「Tor」による通信に対し、警察が遮断を求めているのではないかという報道があり、「官による検閲ではないか」とこれも大きな話題になりましたが、どうやら勘違いだったようです。

使い回しのID／パスワードを狙った不正アクセスが多発

　4月に入り、ポータルサイト「goo」で、10万件のアカウントが不正ログインされた事件をはじめ、NTT東日本、eBook JapanやT-SITEなど、多数のWebサービスや企業サイトがパスワード攻撃に遭ったことが話題となりました。gooを筆頭に、不正アクセスを受けた件数が多かったことと、またそのやり方が特徴的だったことから、セキュリティクラスタの間では大きな話題となりました。

　今回行われた一連の攻撃は、1つのアカウントに対し、時間をかけてさまざまなパスワードを試してログインを試みるという、これまでよく見られた方式（＝ブルートフォース）によるものではありません。多数のアカウントリストを用意し、それらアカウントに対応した1つのパスワードを試すという特徴的なやり方でした。これは、どこかの別のサービスのIDとパスワードがすでに漏えいし、同じ組み合わせがほかのサービスでも使えるかどうか試しているのではないかと強く疑われるものでした。

　そういったことから、一概に、推測しやすい単純なパスワードを設定していた人が不正アクセスを受けたというわけではなさそうです。むしろ、「複雑なパスワードを設定していたけれども、他のサービスを同じものを使い回していた」というユーザーのアカウントが不正ログインされていたようです。

　不正ログインを受けた各Webサービスでは、パスワードリセットと再設定を依頼した上で、「パスワードの使い回しはやめよう」と告知しました。こうした動きを見てTwitterのタイムライン（TL）では、「再設定だけで不正アクセスから守れるのか」「他にどのような備えがあるのか」などが議論されていました。

【関連記事】

セキュリティ・ダークナイト（12）：

大切なパスワードをつなぐ ひみつマネージャ

http://www.atmarkit.co.jp/ait/articles/1304/11/news059.html

　各社からはお詫びのリリースも発表されました。中でもeBookJapanのリリースは、攻撃方法や試行数など詳細な情報まで含む内容でした。今までになく詳細まで踏み込んで公表したということで、TLではその姿勢が絶賛されていました。

　4月は他にも多数の不正アクセスが話題となりました。日本企業絡みでは、gooの不正アクセスとほぼ同時期にYahoo! Japanでも不正アクセスが明らかになりました。こちらはパスワード攻撃によるものではなく、社内の管理用アカウントが漏れて不正に利用されていたようです。

　また4月末には、NTTドコモのアメリカ法人が攻撃を受けて個人情報がリークされ、こちらも話題となりました。さらに、JINSのWebサイトも不正アクセスを受けましたが、こちらはApache Struts2フレームワークの脆弱性を突かれていたようです。

警察がTor経由の通信遮断を要請!?

　遠隔操作ウイルス事件以来、警察が目の敵にしているように見受けられるのが、匿名化ツールの「Tor」です。このTorを巡って、警察庁の有識者会議で「通信事業者にTorを使ったアクセスを制限するようにしてほしいという報告があった」との一部報道があり、TLで話題となりました。

　もしこれが現実のものとなり、通信事業者がIPアドレスによる通信制限を行うと、電気通信事業法が定める通信の秘密の侵害につながります。TLでは、「さすがにそれはまずいのではないか」という意見がほとんどでした。

　さらに、この報道が海外のメディアにも取り上げられたことから、Torの公式アカウントもこの動きに対して「なぜ？」とツイートし、AnonymousもTor通信遮断反対の署名運動を始めました。

　ただこの一件、結局は記事執筆者の勘違いだったようです。上記の報告書を見ると、正確には「掲示板などの管理者に対し、Torからのアクセス制限を促す」という内容でした。記事も訂正され一段落ですが、中には「最近の様子を見ていると、警察ならやりかねない」と思った人も多かったようです。

　Tor関連ではほかに、Tor経由でWebを改ざんしていた少年が逮捕されました。ただこれも、Torの通信自体が解析されたわけではなく、アカウント情報などその他の証拠を多数残していたことが決め手になったようです。

　また、Torが大きく取り上げられるきっかけとなった遠隔操作ウイルス事件に関連しては、容疑者が再び逮捕されたこと、事件の真犯人が使用していたアカウントに共同通信の複数の記者が不正ログインを行っていたことなども話題となっていました。

AP通信のTwitterアカウントが一時乗っ取られ一瞬株価が急落して大騒ぎに

　4月23日には、米AP通信のTwitterアカウントが一時乗っ取られ、「爆発でオバマ大統領が負傷」とツイートされました。

　この偽ツイートを受けて即座に、アメリカのダウ工業株平均が一時急落しました。これは、ネット上の特定の単語に反応して売り注文を出すプログラムが反応してしまったからだそうですが、すぐに値は戻りました。

　シリアのエレクトロニック・アーミー（SEA）というグループが、このTwitterアカウントの乗っ取りについての犯行声明を出しています。このグループは、アルジャジーラやロイター、CBSなど、マスコミのアカウントを多く乗っ取ってきたグループです。

【関連リンク】

【ハッキング】AP通信のツイッター・アカウントが乗っ取られ、誤情報を流布→米株価一瞬暴落

http://matome.naver.jp/odai/2136674477218642001

　日本でも吉野家の公式アカウントが乗っ取り被害に遭うなど、Twitterのアカウントが乗っ取られるケースは最近では珍しくありません。しかし、アカウントが乗っ取られてなりすましのつぶやきが行われた結果、株価にまで影響が生じる事態となると、これまでにあまり例がありませんでした。

　今回の事件が、株価操作を目的としたものか、そうでなかったのかは定かではありません。しかしこの乗っ取りによって、サイバー攻撃が一瞬でも世界の経済に影響を与えることをあらためて認識し、その事実に驚いたり考えたりしているツイートをたくさん見かけました。

セキュリティクラスタ、4月の小ネタ

　このほかにも4月のセキュリティクラスタはこのような話題で盛り上がっていました。来月はどのようなことが起きるのでしょうね。

• ハッカー集団、北朝鮮に宣戦布告、北朝鮮の公式TwitterおよびFlickrアカウントをハック
• アサヒ「モーニングショット」のCMが「セキュリティ的に何考えてるんだ」と話題に
• Securoid、危険でないアプリを危険と判定し製作者から抗議を受ける
• 「DDoSにも使われたオープンリゾルバ止めようぜ」との注意喚起
• Windows XPのサポート終了まであと1年
• Codegate、Sutegoma 2は5位
• ネットバンキングの被害総額、すでに去年を超す

著者プロフィール

山本洋介山

bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。