2月版　セキュリティベンダのクラックがTwitter上の話題に

山本洋介山
bogus.jp

2011/3/8

　はじめまして。Twitterのセキュリティ関連のタイムラインを日々眺めながら、忙しくてTLを追えない人のために「twitterセキュリティネタまとめ」というブログを書いている山本洋介山です。

　今月からここで、「Twitterセキュリティネタまとめ」のまとめを書かせていただくことになりました。よろしくお願いします。

AnonymousによるHBGary社のクラック事件

　日本ではそれほど話題になっていないようですが、「Anonymous」という名のハッカー集団がこのところ活発に活動を繰り広げています。WikiLeaksを支援したりAmazonを攻撃したり、エジプト政府への攻撃により革命に影響を及ぼしたともいわれてます。

【関連記事】 WikiLeaksめぐるサイバー攻撃で5人逮捕（ITmedia News） http://www.itmedia.co.jp/news/articles/1101/28/news052.html

　さて、そのAnonymousですが、中でもセキュリティベンダのHBGary社がクラックされた事件がTwitterでは話題となりました。

　この件については、「HBGary事件の顛末」という日本語による分かりやすいまとめが書かれたこともあり、記事紹介やRTが広がりました。単純にことの成り行きをまとめると、HBGary社がAnonymousのメンバー情報をバラそうとしたところ、怒ったメンバーによって攻撃されて逆に返り討ちに遭ってしまい、いろいろな情報が流出してしまった、ということです。

　この攻撃のせいでさまざまな情報が流出してしまったわけですが、中でも、イランの原発を攻撃するなど、制御システムを狙い、USBメモリを介して感染する話題のマルウェア、「Stuxnet」が注目されました。Anonymousのメンバーの1人であるtopiaryが「Stuxnetのソースコードを持っている」とツイートしたのです。そこで、HBGary社がStuxnet作成にかかわっているのではないかというウワサが流れていたのですが、それに対するa4lg氏のツイート。

　結局、HBGary社は調査のためStuxnetを保持していただけで、すべてのソースコードを持っているわけではなかったようです。とんだ誤解でした。

　また、HBGary社から流出したデータに含まれる「Magenta Rootkit」や、Anonymousがほかにクラックしたrootkit.comから流出したデータに関するツイートなど、2月はAnonymousの話題がたくさんでした。

脆弱性を見つけたらお小遣い！

　このところ、社外のセキュリティリサーチャーが見つけた脆弱性に対して報奨金を贈る企業や組織がいくつか現れてきています。2010年10月にはGoogleも、Webサイトやアプリケーションの脆弱性を見つけた人物に報奨金を贈る制度を始めました。

【関連リンク】 Rewarding web application security research http://googleonlinesecurity.blogspot.com/2010/11/rewarding-web-application-security.html

　そして2月、日本人のセキュリティ研究者、kinugawamasato氏がGoogleの複数の脆弱性を見つけて1万ドル以上の報奨金をもらった話がWebメディアで記事化（TechWave）。これを受けて、TwitterのTLも話題にしていました。

　セキュリティクラスタでも何人かが反応しています。中でも、GoogleのほとんどのサービスでXSS脆弱性を発見していたという著名なリサーチャー、hasegawayosuke氏は「いまだったら大金持ちになれていたのに」とのツイート。とはいえ氏は丸損なのかというと、

と、さすがの貫禄です。

　ほかの人からも、もう少し遅く脆弱性を報告していたならボーナスが贈られたのに……とのツイートがありました。

　s_hskz氏も、以前、kinugawamasato氏が報告した脆弱性に似た問題を発見していたり、kaito834氏は別のGoogleのバグを見つけてセキュリティ窓口に報告していたりと、実は日本人セキュリティエンジニアは水面下でGoogleのセキュリティ向上に貢献しているようです。

　このように、TLの裏では日々さまざまな脆弱性が見つけられ、報告されています。なお、日本ではライブドアのmala（@bulkneets）氏が脆弱性報告に対してAmazonギフト券を贈るという素敵な行動を始めています。ほかの日本の企業の方も、脆弱性報告に温かく対応していただきたいものです。

ハッキング力を測定するサイト「Hackme」登場

　Hack This SiteやXSS Challengesなど、これまでも疑似攻撃でWebサイトやサーバを攻略することで技術力を判定するサイトがありましたが、2月、新たに「Hackme」というサイトがオープンしました。セキュリティ関係者だけでなく、Twitterでもたくさんの人たちの間で話題となっていました。

　もちろん、日頃Capture The Flag（CTF）で問題を解いているようなセキュリティクラスタの人たちも多数参加したようですが、いきなりやる気をなくしたり、レベル2で詰まる人が多かったようです。前述のhasegawayosuke氏も、「15分くらいLv2やったけど解けないのでやめたｗ SOP破りだけならもうちょっとやる気だすけど」と早速あきらめています。

　あきらめる人が多かった理由は、問題の難易度が高かったからだけではなさそうです。ucq氏が「作者の想定してる解答をいれるというクイズでした」とツイートしているように、正答条件が厳密過ぎ、作者の想定している答と一致していないと正解にならないのです。また、実際の脆弱性で起こる挙動とHackmeでの挙動が違ったりすることも、やる気をそいでいたようでした。こんなふうに悪評が伝わるのが早いのも、Twitterならではです。

　また、大挙して人が押しかけたのが原因なのか、誰かが変なスクリプトで負荷を掛け過ぎたのか分かりませんが、サーバエラーでアクセスできなかったり、名前の登録が早い者勝ちだったりで、やる気をなくした人も多いようです。

　最初はそのような残念な評価を受けたりもしたHackmeですが、少しずつバージョンアップが行われているようです。kaito834氏の「あれ、昨日通らなかったリクエストで Lv2 通過できた...なんだそりゃ。#hackme」とのツイートにあるように、初期とは判定基準が変わっているなど、改善はされているようですね。最初のグダグダ加減で手を引いてしまった人も、もう一度チャレンジされてみてはいかがでしょうか。

　なお、Hackmeに関するハッシュタグ「#hackme」がありますので、これを読んで興味を持たれた方は、まずハッシュタグを見て情報収集するといいでしょう。

セキュリティクラスタ、2月の小ネタ

　その他、2月にセキュリティクラスタの人たちで話題だったのは以下のようなことでした。

• 2月は情報セキュリティ月間！ 2月2日は情報セキュリティの日！ キャラクターは昨年同様セキュリーナ！
• 話題のグルーポン、今度は顧客情報の入ったノートPCをなくす。HDD暗号化してない？
• IPv4アドレスが本当に枯渇しそう
• 海外のペネトレーションテスターは在宅勤務なのでパンツをはかない!?
• 書籍のサンプルコードに脆弱なものがたくさんある!?
• IPAが楽天にセキュリティ情報のBlogを開設。どうして？
• 八百長メールを携帯フォレンジック！

　3月はどんなことが起きるのでしょうか。

Profile

山本洋介山 bogus.jp 猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。

セキュリティクラスタまとめのまとめ 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）