4月版 PSNが全部話題を持ってった
山本洋介山
bogus.jp
2011/5/13
原発の問題と余震はまだまだ続いているものの、計画停電もなし崩しになくなっていき、徐々に落ち着きを取り戻して通常業務に戻りつつあるTwitterのタイムラインです。
セキュリティクラスタでも震災関連の詐欺やフィッシングに関する話題は徐々に減り、大規模な侵入とメジャーなWebアプリの脆弱性についての話題が増えた4月でした。
PSNが侵入を受けて個人情報をごっそり抜かれた件
4月20日、ソニーのPS3やPSPから接続してアプリケーションの購入などを行えるサイト、「プレイステーションネットワーク」(PSN)が攻撃を受けて、停止するという事件が勃発しました。
当初日本では「サイトが停止している」というだけで、それほど大きく取り上げられませんでした。しかし停止期間が伸びるに従って、「ただのサイト停止ではない」という疑問を持つ人が増え、まずは海外のアカウントや海外情報を追っている人によって情報が少しずつツイートされました。
当初は、近ごろ話題のハッカー集団Anonymousによるしわざか、PS3のハッキングに対する訴訟による恨みを買ったことによる攻撃だとの噂でした。けれど早々にAnonymousと、PS3ジェイルブレイクで訴えられたジョージ・ホッツ氏は攻撃を否定しています。TwitterのTLでも、「これまでのAnonymousの攻撃のやり方を見ても、どうも違うのではないか」と予想されていました。
| 【関連記事】 ハッカー集団Anonymous「われわれではない」 ソニー事件への関与否定 http://www.itmedia.co.jp/news/articles/1105/06/news041.html |
何も発表がないままPSNは停止を続け、噂だけがTwitterに流れていたのですが、25日になってとうとうソニーが被害内容を発表。「住所氏名、メールアドレスだけでなく、パスワードやクレジットカード番号を含む7700万人の個人情報が被害に遭っていた」という規模の大きさに驚く声で、TLはあふれることになりました。
PSNに情報を登録していた人にとっては、クレジットカード番号や秘密の言葉を含めた情報が流出したのですから、たまったものではありません。中でも「パスワードが平文で保管されていたらしい」という情報に、プレステとセキュリティに興味のあるクラスタは騒然としていました。
もちろんセキュリティクラスタの中にも、クレジットカード番号やパスワードが流出しまった人がいました。こうなると、自分自身がセキュリティに気を遣っているだけではどうしようもないこともあるのだ、と思い知らされます。
そして、5月1日になって、ソニーによる記者会見が行われます。事実はTwitter上に流れていた情報とは異なるのかと思いきや、これまで流れていた被害状況をほぼ認める内容でした。「情報は安全だ」と信じようとしていた楽観的な登録者は、奈落の底に突き落とされることになりました。
ソニーは「非常に高度な技術を使用して侵入された」と主張しています。けれど侵入の原因は、アプリケーションサーバの「既知の脆弱性が悪用された」という、ただセキュリティが甘かっただけのお粗末なお話です。セキュリティクラスタの人たちはおおむね呆れている様子でした。
ただ、パスワードの保存形式については、当初平文での保存を認めたものの、後にハッシュされていたとの訂正が入り、ほんの少しだけほっとすることができました。また、「クレジットカード番号は暗号化されており、セキュリティコード(CVV)は入っていないので安心してほしい」と説明されていますが、海外ではすでにCVV入りのクレジットカード番号データベースが流出したり、流出したクレジットカード番号による被害も出ているとのツイートが流れているので、安心は禁物でしょう。
結局攻撃の目的は公表されないまま(ソニーにも分からないのかもしれませんが)会見は終了。TLでは私怨による攻撃、あるいはボットネットを構築するための攻撃でないかなどと予想されたりしていますが、その真相も、今後どうなるかもまだ闇の中です。
なお、ソニーはPSNに登録している人に対して
- 会員の人は今すぐパスワードを変更してほしい
- カードが悪用されたらお詫びします
- お詫びは無料コンテンツで
と告知していますので、PSNに登録している人は早急にパスワードを変更しましょう。ただし、一連の事後対応についても評判は芳しくなく、すでに海外では訴訟を起こされています。
| 【関連リンク】 5月1日の会見まとめ http://togetter.com/li/130176 |
EvernoteのXSSとおいしいお魚のお話
mala(@bulkneets)氏は3月から、FacebookなどWebサービスの脆弱性を調査し、その脆弱性についてTwitter上で公開していました。その中の1つに、Evernoteの脆弱性がありました。
EvernoteにはXSS脆弱性があるので全員ログアウトした方がいいless than a minute ago via TweetIrcGateway 
Favorite 
Retweet 
Reply
mala
bulkneets
調べたところIEで警告が出るのでXSSフィルタを無効にしろとアナウンスしてる http://bit.ly/fFhQuh アホか、実際にXSSがあるんだよ http://bit.ly/hVGieWless than a minute ago via TweetIrcGateway Favorite Retweet Replymala
bulkneets
これらのツイートを見て、Evernoteでは少しずつ修正が行われました。けれどどうにも修正がうまくいかずに、直しても直してもXSSが残っている……という状況でした。
ここまではよくある話なのですが、このままでは埒があかないと思ったのか、同様にEvernoteのXSSを発見していた徳丸浩(@ockeghem)さんと共にEvernoteの日本法人に呼ばれて、EvernoteのXSSとその対応について、会食しながら直接話をすることになったようです。
どうやら会食のメニューはキンキなどのおいしいお魚だったようで、大変満足された様子でした。Evernoteとしても、一度のおいしい会食だけで、実際に依頼すると高額になっても仕方のないセキュリティコンサルティングを受けられたわけですから、お互いにとっていい結果になったのではないでしょうか。
今回は、こんな風に直接の話し合いがよい結果に結び付きました。けれど過去には、脆弱性を指摘した人がベンダから呼び出しを食らって訴訟をちらつかされたり、恫喝されたりしたケースもあるようです。あまり呼ばれてノコノコ飛び出ていくのもどうかという意見もありました。
マジレスすると、対策のために脆弱性の発見者を呼びつけるというのは、発見者の心理的・物理的負担が大きいので、企業の対応としては全くもって勧められない。less than a minute ago via web Favorite Retweet Reply
Yosuke HASEGAWA
hasegawayosuke
しかしながら、直接の会談が行われた後もEvernoteに存在したすべての脆弱性が消えているわけではないようです。JavaScriptを駆使した大規模なWebサービスを構築するのは大変なんだなと思います。
また、Facebook、Evernoteの他に、BelugaやBoxcarなどでもXSSが発見されています。これらのサービスを利用して、PCからでも携帯からでも家でも出先でもメモやクリップを取りたいという貪欲な方は、いまのところ脆弱性が存在するリスクを踏まえたうえで使用するのがいいかと思います。
チームステゴマ2、CODEGATE決勝は?
日本の誇る「チームステゴマ2」が、CODEGATEのCTF予選を見事1位で通過したことは先月お伝えしたとおりですが、4月4日〜5日にその本選が行われました。
本選はオンライン参加ではなく、現地韓国に乗り込んでの戦いとなり、参加できるメンバーも4人に限定されました。けれど、4人以外にサポートメンバーとして参加していた@tessy_jpさん、@yoggyさんなどのリアルタイムな状況ツイートのおかげで、気分だけでも一緒にCTFに加わっている気分になれました。ありがとうございます。
優勝して賞金を震災の義援金にするぞ、という意気込みで乗り込んだチームステゴマ2。けれど最初の出遅れが響いたのか、最後に追い込んだものの結果は惜しくも4位。優勝してゲットする予定のDEFCON CTFの参加権どころか、3位までに出る賞金ももらえないという悔しい結果に終わってしまいました。
final score #codegate #ctf Congrats ! PPP. 残念ながらsutegoma2は4位でした。 http://plixi.com/p/89611927less than a minute ago via TwitBird Favorite Retweet Reply
tessy
tessy_jp
CODEGATEが終わった。賞金を得られるのが3位までで、結果は4位。しかも2位まではほとんど紙一重の差。うーん、結果は悪くないが悔しさが半端ない。賞金を募金する作戦だったのでなおさら…。less than a minute ago via web Favorite Retweet Reply
愛甲健二(KenjiAiko)
07c00
地震の影響で日本からは参加できないと思われていたこともあってか、ステゴマ2は地元メディアの取材を受けたり、新聞にメンバーの写真が掲載されたりと注目を浴びていたようです。それもプレッシャーになったのかもしれませんね。
地下鉄の売店で新聞買ってみたら載っててびっくり http://yfrog.com/h4wm7mejless than a minute ago via twicca Favorite Retweet Reply
yoggy
yoggy
CODEGATEの後、4月22日〜23日には「pCTF 2011」が開催されました。ステゴマ2は終盤にいったん首位に立ったものの最後に追い抜かれ、優勝したのは、CODEGATEではステゴマ2の下の順位だった「Hacking For Soju」でした。
ということで、優勝まで紙一重のところにいるチームステゴマ2をこれからも応援していきたいと思います。そして、もうすぐ始まるDEFCONの予選を今年こそ突破して、本選出場を果たすことを期待しています。
セキュリティクラスタ、4月の小ネタ
その他、4月にセキュリティクラスタで話題だったのは以下のようなことでした。すべてがPSNの大事件にかき消されてしまった感もありますが……。
- エイプリルフールのはてなナウに「XSS」が!
- ハッカーグループがユーザーのパスワードを勝手に「password」に変更してしまった!?
- TRACEメソッド
- SALT vs ストレッチング
- 東電もAnonymousに攻撃されるかも!?
- IE9リリースされるも盛り上がらず
- パスワードの有効期限って必要なの?
| Profile |
| 山本洋介山 bogus.jp 猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。 |
| 2011年3月版へ |
 |
セキュリティクラスタまとめのまとめ 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
