5月版　収束見えないソニー関連の攻撃

山本洋介山
bogus.jp

2011/6/9

　ゴールデンウィークからあっという間に5月も終わり、祝日のない6月に突入してしまいました。しかし、PlayStation Network（PSN）における個人情報の大量流出に端を発したソニーのグダグダはまだ続いていて、なかなか収束しそうにありません。

　いつものように盛り上がるパスワードやエスケープ関連の話題の他、セキュリティ女子力に巫女テスターと、ちょっとだけIT業界の女子会ブームに乗っかっている感のあるセキュリティクラスタです。では、5月に起こったトピックのうち、気になったことをピックアップしていきます。

ソニーは引き続き「脆弱性発見大会？」

　4月末からセキュリティ界の話題をほぼ独占している感のあるソニーの情報流出事件ですが、侵入を受け、個人情報がダダ漏れしてしまったPlayStaion Network（PSN）のセキュリティ対策費用だけで140億円もかかるみたいですね。桁が多すぎてよく分からないことになっています。

　PSNの流出事件自体は、お詫びと無料サービスの提供でほぼ収束しつつあったようです。しかし、サーバのバージョンがさらされたり、アメリカ、カナダ、イギリス、オランダ、ギリシャ、イタリア、インドネシア、タイなど世界10カ国以上で、ソニー関連会社のWebサイトのSQLインジェクションやXSSなどの脆弱性がさらされたり、Webが書き換えられたりと、次から次へとインシデントが報じられています。

　とはいえ、セキュリティクラスタでは、

「脆弱性はどこにでもあり、たまたまPSNをきっかけに、ソニーのWebサイトが目を付けられただけなのではないか」
「PSNユーザーのクレジットカードが不正利用されたのは濡れ衣だろう」
「発表されたソニーのWebサイトのバージョンが古いことに関しても、バナーだけ見ても本当のバージョンは分からないのでは」
「リブートされたりするなど、攻撃者のやり方は洗練されていない」
「流出したパスワードがハッシュ化されていたことに逆に驚いた」

というように、事件の推移を注視しながらも、ソニーの対策を煽り立てるだけではない冷静なTLとなっているのが印象的でした。

　しかしながらXSSの脆弱性を公表した@hasegawayosukeさんは、「ハッカー集団の悪い人」と認識されたようです。一部では「ソニーハッカー」などと紹介されるなど、ある意味最も大きな影響を受けてしまった人かもしれません。

　PSNは何とか、欧米では5月15日から再開しました。とはいうものの、パスワードリセットページから第三者がパスワードを変更できるようになっていたり、5月28日に日本で再開した際には、早々にPlayStation StoreでXSSが見つかったらしくすぐにサイトが休止になったりと、先行きは不安な展開です。残念ながら、この先もまだまだたくさんの話題を提供してくれそうな雲行きですね。

セキュリティクラスタにも女子力!? ぷんぷくり〜ん（怒）

　「エビオス嬢」さんの本気なんだか高度な釣りなのかよく分からないけど振り切ったテンションで書かれたコラム「モテる女子力を磨くための4つの心得」が、日本のインターネット界の話題をかっさらっていったのは記憶に新しいところです。

　このメソッドをセキュリティ業界にも応用すべく、@ockeghem（徳丸浩）氏が「モテるセキュ女子力を磨くための4つの心得『SQLインジェクションができない女をアピールせよ』」という素敵なパロディを発表し、話題になりました。

　例えば、「XSS検査で＞＜を使うとモテる」などという、セキュリティ関係者以外にはまったく付いていけない見出し。この渾身のネタに対し、「そうなんですかぁー、でもケータイサイトでやってみたら、半角のメタ文字はサニタイジングされるけどぉー、全角は通ったあと半角に変換されるのでぇー、アラートがでたことあるんですぅー」と切り返すという具合で、セキュリティ女子のネタにキュンキュンするセキュリティ男女がTLに多数現れました。

　中でもなぜか一番話題になったのは、上記コラムの中で「徳丸本」と間違えられる「丑丸本」のことです。TLでは速くも「丑丸本はいつ出版されるのですか」「早く出ないのですか」と、すでに出版が確定しているかのような雰囲気でした。

　ちなみにこの「丑丸本」の著者は、CTFなどで名を馳せるユシマロさんこと@ucqさんです。濃いバイナリ解析の著書が期待されているようですので、ぜひ！

　その後、高木浩光先生まで「白浜シンポジウム」に関して、「もう来ねえよ！ ぷんぷくり〜ん（怒）」とツイートされています。セキュリティ業界で「ぷんぷくり〜ん（怒）」がはやるかもしれませんね。要注目です。

　なお「モテる女子力を磨くための4つの心得」の影響は、セキュリティ業界以外でも相当大きかったようで、たくさんのパロディが生まれています。

【関連リンク】 「モテる女子力を磨くための4つの心得」ランキング http://cielquis.net/girls-power/index.html

バグが残っていると罪になる!? ウイルス作成罪に騒然

　5月末の国会で「ウイルス作成罪法案」が審議されていましたが、その中での「プログラムのバグが罪に問われるか」についての江田法務大臣の答弁が問題となっています。

　普段使っているOSでさえ、頻繁にセキュリティ修正のアップデートがリリースされています。このように、「プログラムにはバグがつきもの」であることは、普段からPCに触れている人ならばよく承知のことだと思います。

　ところが、その「バグ」を作ることが犯罪になってしまうかもしれない、ということで、セキュリティ関係者だけでなく、実際にプログラム作成に携わっている人たちからも多数の声が上がっていました。

　「もともとウイルスでないものが、バグが見つかったからウイルスとされるのはおかしい。なぜ刑事罰が」という意見を示す人が多かったのはもちろんですが、「罪に問われないようプログラマを辞めよう」「海外に行こう」「刑務所がプログラマーであふれかえるんじゃないか」「バグで会社の全員が逮捕されて消滅するのではないか」といったネガティブなツイートも多かったです。

　とはいえ百戦錬磨の技術者たちは、弱気なだけでありません。特に多かったツイートは、「バグではなく仕様ということにする」という方法でした。仕様ということで押し切ってしまえば、逮捕もされず、プログラマーも会社も安心です。これまでも、顧客に詰め寄られたときにそうやって逃げたことがある人も多いのでしょうね。

　また、「プログラムのバグが罪になるのなら政策のミスも罪にしてほしい」という現状を揶揄するツイートや、「刑務所は1日8時間勤務」という、シャバよりも刑務所の中の方が環境がよくなることを匂わせる悲しげなツイートもありました。

　もしこのままウイルス作成罪法案が決まってしまいますと、ウイルスを作られないようにするための法律によって、日本から優秀なプログラマーが海外に流出したり、バグが仕様として放置される危機的な状況になってしまうのではないか……と心配せずにはいられないTLでした。

　とはいえ、バグを認識しながら公開して放置したままにしておいて、それが誰かに迷惑をかけている場合は、民事での損害賠償責任は問われるはずです。確かにほったらかしはよくないんですけどね。

セキュリティクラスタ、5月の小ネタ

　他に5月のTLでは、このようなことが話題になっていました。6月はどのようなことが起こるのでしょうか。

• セキュリティホールを見つけた巫女テスターが独断でサーバごとシステムをシャットダウン
• イマイチかみ合わない「プリペアードクエリ」と「エスケープ」論争
• ヤフーID大量乗っ取り!? 騒動
• サポートが切れた今ごろようやく「ウイルスバスター2009」脆弱性が公開される
• iモードがスマートフォンに対応って大丈夫？
• Cookieやhiddenなどクライアントにデータを持たせる場合のセキュリティはどうしたらいいの？
• ショルダーハックされないようにするにはどうしたらいいの？
• パスワードって定期的に変えた方がいいの？
• パスワード擬人化って何よ？

　また、6月4日未明から5日にかけて行われた、DEFCONの「Capture the Flag（CTF）」予選の模様の速報は、「2011年 DEFCON 19 CTF予選まとめ」にまとめています。来月はその続報をお届けする予定です。

Profile

山本洋介山 bogus.jp 猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。

2011年3月版へ

セキュリティクラスタまとめのまとめ 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）