6月版　“ハッカー集団”は梅雨とともに去りぬ？

山本洋介山
bogus.jp

2011/7/7

　まだ梅雨も明けていないのに暑い日が続いて、関東では早くも電力消費が心配でたまりませんが、皆さまいかがお過ごしでしょうか。

　さまざまな“ハッカー集団”が世間を騒がしていることもあって、Twitterのセキュリティクラスタは相変わらず活発に動いています。今月も、クラスタの中で話題になっていることをピックアップしました。

祝！ チームsutegoma2、DEFCON本戦出場！

　「DEFCON」といって、すぐにぴんとくる方はどのくらいいるでしょうか？ これは世界のハッカーが真夏のラスベガスに集う伝統のイベントで、今年も8月上旬に開催されます。

　期間中には会場内で、Capture The Flag（CTF）というセキュリティ技術を競う競技会が行われ、カンファレンスと並んでDEFCONの目玉となっています。しかしながらこのCTF、誰でも簡単に参加できるものではありません。まず、上位10チームに参加資格が与えられる予選を勝ち抜かなければならないのです。

【関連記事】 予選はクイズ感覚の「超高度な知恵くらべ」（＠IT Security＆Trust） http://www.atmarkit.co.jp/fsecurity/special/151ctf/ctf01.html 「DEFCON18」でハッカーが繰り広げた知的遊戯（＠IT Security＆Trust） http://www.atmarkit.co.jp/fsecurity/special/158defcon/defcon01.html

　去る6月4日〜5日、2日間にわたって、この予選が開催されました。予選にはインターネットを通じて世界中の誰もが参加でき、日本からも、首都圏に限らず全国各地から参加者がありました。「popopop00000n」などという面白い名前のチームもいたようです。

　この数年は、Twitterを通じてCTF予選の様子が分かるようになりました。解答を見つけたときの興奮や、解けなくて焦っている様子だけでなく、合間に入るレッドブルなどの差し入れや食事、支援している人の動きなど、TLを眺めているだけで自分も予選に参加しているような気分になれ、応援側としても力が入ります。

　サーバのトラブルでCTFのサイトが落ちていたこともあり、今年の予選はちょっとあいまいな感じでスタートしました。その中でもチームsutegoma2は、日本が誇る匠の技である「目grep」を駆使して最初からトップ集団をひた走り、最後まで失速することなく、何と2位に入りました。日本人主体のチームとしては初の予選突破です（日本人としては、チーム「lollersk8ers」から出場された福森さんなどがいらっしゃいますが）。

【関連リンク】 Defcon 19 CTF quals - Top 15 Graph http://stalkr.net/defcon/graph.htm

　チームsutegoma2は、今年3月に開催されたCODEGATEのCTF予選を突破し、決勝進出を果たすなど、この数年の地道な努力の実を結ばせつつありました。そしてとうとう、悲願の決勝進出を果たしたわけです。

　他にも、長く苦しくも楽しい2日を過ごされた皆さん、本当にお疲れ様でした。次回は日本から2チーム決勝進出、なんてことになればいいですね。

　決勝はルールが違うそうですが（去年まではCapture the Flagの名の通り、トリビア形式のクイズではなく、サーバの管理者権限を奪い合うというルールでした）、ラスベガスでも目grepを駆使して優勝目指して頑張ってほしいですね。現場からの生ツイートにも期待しています。

【関連リンク】 2011年 DEFCON 19 CTF予選まとめ http://togetter.com/li/144524 DEFCON CTF予選結果 http://ddtek.biz/ 目grep入門（@murachue） http://www.slideshare.net/murachue/grep-8057239

ハッカー集団「LulzSec」、わずか50日で即解散のなぜ？

　中東各国政府への攻撃から始まり、ソニー関連の一連のハッキングとのかかわりで騒がれたハクティビスト集団、Anonymousですが、6月になると「LulzSec」という集団の方が、いろいろな政府や企業のサーバに対する攻撃を仕掛けたり、声明を出すなどして、目立ち始めました。政治色が強かったAnonymousと比べると、LulzSecはこれといった目的もないかのように、目に付いたところを手当たり次第に攻撃しており、まったく先の読めない攻撃と情報暴露が繰り広げられました。

【関連記事】 セキュリティ・ダークナイト 番外編 本当のAnonymousが知りたいの http://www.atmarkit.co.jp/fsecurity/special/161dknight/dknight01.html

　ざっと流れをまとめてみましょう。まず、テレビ番組のWebサイト書き換えから始まり、ニュースサイトを書き換えて「2PACは生きている」というニュースを流した後、FBIの関連組織であるInfragard、上院議会、CIA、ソニーなどを攻撃。その後、20日にはAnonymousとの共闘宣言を出します。同時に「Operation Anti-Security」を宣言し、さまざまなチームを巻き込みながら攻撃を続けていました。

【関連記事】 ハッカー集団の次の標的はFBI、Sony Picturesは不正侵入の被害認める（ITmedia News） http://www.itmedia.co.jp/news/articles/1106/06/news015.html

　しかし、19歳のメンバーが逮捕された影響もあるのか（「メンバーではない」と言い張っていましたが）、26日にはAOLやAT&Tなどの内部データなどをばらまいて、「解散宣言」を出してしまいます。日本語での読み方が「ローズセック」なのか、あるいは「ラルズセック」なのか、統一する間もなく、あっという間に駆け抜けていってしまいました。

【関連リンク】 ハッカー集団LulzSecが解散宣言（ITmedia News） http://www.itmedia.co.jp/news/articles/1106/27/news016.html ロンドン警視庁、サイバー攻撃事件で容疑者を逮捕――LulzSecのメンバーか（ITmedia News） http://www.itmedia.co.jp/news/articles/1106/22/news022.html

　若干政治的な堅苦しさも感じさせるAnonymousに比べると、LulzSecはその目的を「楽しみのため」と表明していたこともあってか、ずっと幅広い対象に対して攻撃を行っていました。その行動と目的、解散の理由について、TLではさまざまな考察がなされています。その中から気になったツイートを抜粋してみましょう。

　解散したとはいえ、今後はAnonOpsの#antisecでの活動継続を表明しているようです。また他にも、Lulz Lizard、LulzRaft、UberLeaks、BackTrace、Web Ninjas……など、いろいろなグループも現れていますので、攻撃が収まるかというと、そういうわけでもなさそうです。今後も彼らの動きから目を離せそうにありません。

逮捕される恐れも？ ウイルス作成罪が成立

　6月17日に、コンピュータウイルスを取得・保管する行為に対し2年以下の懲役か30万円以下の罰金を課す、「不正指令電磁的記録に関する罪」、いわゆる「ウイルス作成罪」が可決成立しました。成立した当日は、セキュリティクラスタだけでなくTwitterのタイムラインが心配の声であふれました。

【関連記事】 ウイルス作成罪を新設　改正刑法が可決・成立（ITmedia News） http://www.itmedia.co.jp/news/articles/1106/17/news127.html

　「人に迷惑をかけるためにコンピュータウイルスを作成したり悪用したりすることが罰せられる」ことについては、誰も異論はないと思います。しかし、TLでこの法律がこれほどまでに騒がれているわけは、大きく2つありました。

　1つは、先月もお伝えしたとおり、江田法務大臣が、国会で「いわゆる未必の故意によるソフトウェアのバグを放置し続けた場合、不正指令電磁的記録提供の罪に問われる」と答弁したことです。これをきっかけに、自分が作成したプログラムのバグもウイルスとされ、「タイーホ」されてしまうのではないかという心配が生まれました。

　これについては、法務省としては「犯罪に該当しない」との見解を示しています。

　そして、もう1つ心配されているのは、もし自分のマシンがコンピュータウイルスに感染した場合、その感染によって、自分がウイルスを広めてしまった場合に逮捕されてしまうのではないかということ。さらに、研究目的や興味本位でウイルスを持っていた、セキュリティ業界的にはいわゆる「飼っていた」場合にも、逮捕されるのではないかという心配です。

　こちらの判断はあいまいな感じですが、法案の可決前に、おなじみ高木浩光先生が参議院で意見陳述を行ったこともあってか、適切な運用が求められる附帯決議が付く形で成立しました。なので、あまりにも不当な逮捕はないのではと考えられますが、こればかりは運用されてみないと分かりませんね。

【関連リンク】 いわゆるサイバー刑法に関するＱ＆Ａ（法務省） http://www.moj.go.jp/content/000073750.htm 「ウイルス作成罪」の成立についての感想 http://togetter.com/li/150896

　　　

セキュリティクラスタ、5月の小ネタ

　その他に気になったことはこのあたりです。ソニーの問題も落ち着きを見せ始めましたが、7月はどのようなことが起きるのでしょうか。楽しみですね。

• セキュリティ＆プログラミングキャンプの募集、ようやく開始。今年も大人の参加は認められず
• jQuery Mobileに広範囲に影響のあるXSSが発見される
• TopCoderガールズに負けずにCTFガールズを作りたい！
• ソフトバンクのゲートウェイ型SSLひっそりと終了。その理由は超弩級の脆弱性！
• 変態バイナリアンが集うマルウェア解析勉強会がすごい！
• 多層防御のさらに上をいく「過剰防御」!?
• 初心者Webアプリ開発者が読むべき薄い本とは!?
• RSAのSecurIDに脆弱性があるけれど、日本の銀行のトークンは交換されないみたい。大丈夫なの？

Profile

山本洋介山 bogus.jp 猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。

2011年5月版へ

セキュリティクラスタまとめのまとめ 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）