遠隔操作ウイルス騒ぎは鎮静化、一方でAnonymousが再度躍動：セキュリティクラスタ まとめのまとめ 2012年11月版

遠隔操作ウイルスによる誤認逮捕事件はある程度沈静化し、国内は比較的落ち着いた雰囲気だった一方、海外では、イスラエルやシリアなどでAnonymousなどハクティビストの活動が再び活発になりました。

[山本洋介山，＠IT]

　遠隔操作ウイルスによる誤認逮捕事件はある程度沈静化し、国内ではクレジットカードや銀行のWebサイトにいくつか問題が起こったものの、比較的落ち着いた雰囲気でした。一方海外では、イスラエルやシリアなどでAnonymousなどハクティビストの活動が再び活発になり、クラスタ内外から再び注目を集めた11月でした。

遠隔操作ウイルスによる誤認逮捕事件、犯人いまだ見つからず

　先月大きな話題となった遠隔操作ウイルスによる誤認逮捕事件ですが、真犯人が見つかる気配はまだないようです。とはいえ何も起こらなかったわけではなく、「犯人らしき人が1度だけ、匿名化せずに2ちゃんねるに書き込みを行った」という報道が流れました。

　この報道に対するセキュリティクラスタの反応は、「同じスレッドで『Tor』を使って匿名化しているのだから、意識して踏み台を使った書き込みを行ったに違いない」「匿名化せずに書き込みを行ったことは以前から知られていたはずなのに、いまさらリークされるなんて捜査が進んでいない証拠ではないか」と冷ややかなものでした。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　しかしながらこの報道に「真犯人」が反応し、多数の人に、自殺を匂わせる内容の敗北宣言とも取れるメールを送信したことが明らかになりました。警察はこのメールに添付されていた写真ファイルのExif情報を基に捜査を行ったようです。

　ただ、Exif情報の読み取りに失敗したのか、それとも深読みしたのかは不明ですが、警察はなぜか千葉県と神奈川県という離れた2カ所で捜査を行います。けれども結局何の進展もないままで、TLの反応も相変わらず冷ややかなものでした。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　その後なぜか捜査陣は、2ちゃんねるの関係会社を捜索したり、海外に手掛かりを探しに行ったりしているようです。これに対しても、「捜査を名目に海外旅行にでも行くんじゃないのか」と、あまり期待もされないまま時間だけが過ぎています。

【関連記事】

遠隔操作事件「自殺予告メール」に見られる不自然な点　「釣りでは」と疑う声も

http://www.itmedia.co.jp/news/articles/1211/14/news029.html

Anonymousの活動が再び活発に、「OpIsrael」実施

　イスラエルによるパレスチナのガザ地区への空爆に対し、Anonymousが抗議活動として、「#OpIsrael」という名称でイスラエルの政府系サイトや銀行のサイトなど多数のWebサイトに対して攻撃を行いました。

　目立った攻撃としては、イスラエルの主要銀行の1つであるバンク・オブ・エルサレムのデータベースを破壊して顧客の情報を消去したり、イスラエル政府関係者のメールアドレス、電話番号など個人情報5000人分のファイルを暴露するといったものがありました。また、MSN、Windows Live、Skypeなど、イスラエルのマイクロソフト関係サイトが相次いで改ざんされました。

　攻撃総数は4400万回以上、DDoS攻撃によってダウンしたサイトの数は600以上に上ったということです。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　#OpIsraelによって、物理的な攻撃に対するインターネットによる反撃が、目に見える形で政府機関にそれなりのダメージを与えました。この事実を踏まえ、「戦争の形が変わってきている」と、セキュリティクラスタだけでなくさまざまな人の注目をこれまで以上に集めていました。

　Anonymousは#OpIsraelの後も、「ガイ・フォークスの日」に合わせて宣言を行ったり、エジプトの争乱に対して「#OpEgypt」の活動を復活させたり、インターネットの接続が遮断されているシリアに対して宣戦布告を行い、ベルギーのシリア大使館サイトの改ざんを行いつつシリアからのインターネット接続を確保したりと、活発に活動しているようです。

ニコスカードのパスワードがある日突然8桁に？

　最近では、クレジットカードの利用内容の照会や支払方法の変更などが気軽にWebから行えるようになり、利用している人も多いと思います。このようにWebから利用できるカードの1つに三菱UFJニコスカードがありますが、11月になって突然、サイトにログインするために使うパスワードの仕様が変更されました。これまで制限がなかったパスワードの長さが、6〜8桁に制限されるようになったのです。

　そのため、もともと9桁以上の長さで設定していたパスワードは8桁に切り詰められることになってしまいました。これが原因となり、もともと設定していたパスワードでサイトにログインできなくなった人や、認証失敗を繰り返してIDを失効した人がたくさんいたようです。Twitterでこの被害についてつぶやく人も少なくありませんでした。

　同時期、ニコスから「今後はパスワードを9桁以上入れたらエラーにするから、先頭8桁を入力してくださいね」という連絡を受け取った人も多くいたそうです。この連絡には、「実はこれまでも、9桁以上設定されていたパスワードでも、内部的には8桁目までしか見ていなかったの、テヘ」という告白がさらっと書かれていたりしました。これを受けて、「このご時世、パスワードが長くなるならまだしも、短くなるってどういうことよ!?」「つか、今ごろ8桁しか見ていなかったとかいうなよ！」など、ログインできないことも相まって大騒ぎとなりました。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

　セキュリティクラスタでは、ニコスカードの内部でパスワードがどのように保持されていたか、そして短くなった理由はなぜかを考察する人も現れました。例えば、

• 切り詰めできることから、ハッシュ化せずにパスワードを保持してたのではないか
• 仕様上8桁以上は自動的に切り捨てられる、DESという方式で暗号化されて保管されていたのではないか
• 実はフォームに「maxlength=8」が指定されていたために、8文字以上で登録したつもりが8桁で登録されていたのではないか

という意見がありました。そして、桁数が短くなったのは、こうした古いパスワード保管の仕組みを長いパスワードに対応させるための布石ではないかという意見も見られました。

*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***

【関連リンク】

NICOSパスワード8文字切り詰め制限祭りまとめ - Togetter

http://togetter.com/li/410227

　クレジットカード関連ではこのほかにも、楽天カードで、別途確認を行うことなくネット上だけで暗証番号が確認できるようになり、「第三者にカード番号を知られてしまうのではないか」と騒ぎになる一幕もありました。

セキュリティクラスタ、11月の小ネタ

　その他11月には以下のような話題がセキュリティクラスタをにぎわせました。12月はどのようなことが起きるのでしょうね。

• ウイルス感染によって、銀行サイトにアクセスすると怪しい偽画面が表示される事例が多数報告。検出できなかったアンチウイルスソフトもちらほら
• LINEがバグアップデート、勝手に電話帳を同期して友だちを増やす
• 武雄市の図書館システム更新業務仕様書がひどいと話題に
• Android偽アプリでまた逮捕者。そして以前逮捕された人たちは釈放される
• AVTokyo 2012開催、入場者多数で大盛り上がり
• 国内企業に勤めるハッカーって約23万人もいるの？ と、とある新聞記事が話題に
• 不正使用したユーザーのアカウントを乗っ取って、「懺悔」をツイートする辞書アプリ。なぜか正規ユーザーまで懺悔させられる羽目に
• ストーカーが恩人探しのふりをして、ネットで相手の住所を探していた件、怖い
• @sonodamさんがセキュリティ評論家として「ホンマでっかTV」にデビュー。発言はちょっとだけ
• SymantecやSophosのウイルス対策ソフトに脆弱性

著者プロフィール

山本洋介山

bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。