まるでCTFみたい？ 鮮やかに暴かれた「自称小学4年生」のサイト：セキュリティクラスター まとめのまとめ 2014年11月版（2/2 ページ）

小学4年生が作ったと自称するサイトをどのように見破るか、実はそこにはセキュリティ的なテクニックが多く使われていました。定期変更、プロキシと話題に事欠かなかった2014年11月をまとめましょう。

[山本洋介山（エヌ・ティ・ティ・コミュニケーションズ），＠IT]

OCN、パスワードを定期変更しないと接続制限ですってよ。

　このところセキュリティクラスターではいつも話題となっている気がする「パスワードの定期変更ってどうなの」というお話は、2014年11月もまたまた盛り上がりを見せていました。今回は大手プロバイダーの「OCN」が、パスワードの定期変更を義務化して、もし一定期間パスワードを変更していない場合には、一時的にOCN ID対応サービスへのログインを制限を行うと発表したからです。これには、パスワードの定期変更にはちょっとうるさいセキュリティクラスターの人たちが黙っているわけありません。

　セキュリティクラスターの多くは「何をいまさら」という意見で、中には定期変更を強要するなら解約するというツイートもありました。

　「初期パスワードが6文字なのに何が定期変更だ」とのツイートや「接続制限されても生年月日などの要素ですり抜けられるのではないか」と、他の部分の甘さをからかうツイートもありました。「1年」なのか「3カ月」なのか「1秒」なのか、定期変更の間隔が公表されていないことを気にする人もいました。確かに1秒に10回変更すれば、かなり安全になるような気がします。

　これまでにもOCNから不正ログインに関する報道があったので、このような制限を行うのではないかといぶかしむユーザーもいました。一方で「本気で定期変更することに意義があると思っているなら接続制限したっていいんじゃないか」という意見も見られました。

関連記事

OCNでの不正ログイン、パスワード流出の原因はロジテック製ルータの脆弱性（＠IT）

http://www.atmarkit.co.jp/ait/articles/1308/20/news073.html

匿名プロキシ業者が一斉に逮捕される

　2014年11月19日には、匿名プロキシサーバーを主に中国に向けて提供していたということで、全国で一斉逮捕が行われました。匿名プロキシの運営だけでは逮捕されないはずですが、不正にOSを配布していたことや匿名プロキシを踏み台に使った不正アクセス、ネットバンキングの不正送金事件にも関係していたということで、これらの違法な行為に使っていたことを知りながら提供していたことが逮捕の主要因だったようです。

　また、この匿名プロキシの提供方法にも問題がありました。実はこのプロキシ、ネットに接続するために、脆弱性のある家庭用無線LANルーターから奪ったIDとパスワードを使っていたというのです。

　今回利用された脆弱性はすでに2013年に公表されており、ルーターのファームウェアをアップデートすればいい話なのですが、普段何も考えず使っている無線LANルーターのことを、気にも留めずそのまま使っている人が多くいることも確かなようです。その状況を心配するツイートも見られました。ホームルーターに脆弱性がある場合、思った以上に広く、簡単に接続用のIDとパスワードが奪われているのかもしれません。

　プロキシというのは中継する仕組みのことなのですが、この事件の報道によって「プロキシという仕組み自体が悪いものだと思われるのではないか」という意見も複数のアカウントから出てきていました。

---

　この他にも、2014年11月のセキュリティクラスターはこのような話題で盛り上がっていました。2015年1月はどのようなことが起きるのでしょうね。

• WinshockとかHeartbleedのあとはこれなのかと言われている「MS14-066」と「MS14-068」が注目される
• 「遠隔操作事件」の片山被告、懲役10年求刑される
• PCI DSSってパスワードの定期変更を推奨する根拠となるものではなかったってこと？
• DNSの登録情報を書き換えてドメイン名が乗っ取られる事件が発生
• 情報セキュリティ技術者って不足してるの？
• 入門書とセキュリティ人材のお話
• ブレスレットを販売する「クルチアーニ」というサイトが不正アクセスに遭い、いろいろ盗まれてしまう
• AVTOKYO2014とOWASP Day、大盛り上がり（関連記事：AVTOKYO2014リポート：知ってましたか？ セキュリティ業界が歴史に学べること ）
• パスワード管理ソフトのマスターパスワードを狙うのが流行中

「セキュリティクラスター まとめのまとめ」バックナンバー

• 「Anonymousがあの組織に攻撃宣言」「俺たちが善玉ハッカーだ」――11月のセキュリティクラスターを振り返る
• 「4万人のボランティアが守る東京オリンピック」？――セキュリティクラスターの反応は
• サイバー攻撃から日本を守るのは、プロフェッショナルなトップガン
• 成長し続けるセキュリティ人材と悲嘆に暮れる情報流出被害者たち
• 技術ある17歳が牙をむく――私たちに何ができたのか
• 日本年金機構が標的型攻撃を受ける――これは対岸の火事ではない？
• 脆弱性に名前のあるなし関係なし、連休でも淡々と検証するセキュリティクラスター
• 名前はなくても危険、IISの脆弱性が注目を集める
• 日本のWebサイトがテロリストの攻撃対象になった――わけでもなさそう
• SSL通信の根本を揺るがす「SuperFish」問題をどう見るべきか
• 「GHOST」の正体見たり枯れ尾花？ 名前には踊らされなかったセキュリティクラスター
• CODE BLUEにSECCONに、リアルが忙しかった12月
• まるでCTFみたい？ 鮮やかに暴かれた「自称小学4年生」のサイト
• ちっともかわいくなかった、セキュリティ界の「POODLE」
• ShellShockに管理者はショック！ パスワード定期変更の議論どころではない？
• 「www.atmarkit.co.jp.3s3s.org」は安全？ 危険？
• ベネッセの情報漏えいがあぶり出してしまった、USBメモリ管理の穴
• LINEの盗聴疑惑にセキュリティクラスターはどう反応したか
• 急転直下の結末を迎えた遠隔操作ウイルス事件
• HeartbleedにStrutsにIE……脆弱性に振り回された1カ月
• 遠隔操作ウイルス事件でフォレンジックを考えた
• 終わらないパスワード議論と、広告に求められる誠実さと
• 安全なオンラインアップデートってどうすべきだろう？

著者プロフィール

山本洋介山

bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。