2012年5月版　Twitterパスワード流出騒ぎの顛末

山本洋介山
bogus.jp

2012/6/11

　日本では25年ぶりの金環日食の日に、図書館でツタヤのカードを使えるようにする案が浮上したかと思えば、虚構新聞にだまされる人がいたり、女子大生に対する大バッシングが発生するなど、インターネットではいろいろな騒ぎがあった5月でした。

　セキュリティクラスタはというと、SECCON CTFや白浜シンポジウム、情報セキュリティEXPOなどのイベントも多く、Twitter以外の現実の世界で交流することも多かったのではないかと思います。さらに、PHPに大きな脆弱性が見つかったり、Twitterのパスワードの流出騒ぎや海外からの攻撃予告などもあって、準備や対応に追われた人も多かったようでした。

Twitterのパスワード流出？ で大騒ぎ

　5月8日には、「どこかのハッカーが、5万5000件を超えるTwitterアカウントのユーザー名とパスワードをPastebinに貼り付けた」というニュースが世界中を駆け巡りました。

【関連記事】 Twitterでログイン情報5万件以上が流出か　「一般ユーザーに影響ない」 http://www.itmedia.co.jp/news/articles/1205/09/news103.html

　ところがよくよく調べていくと、Twitter本体からは流出しておらず、LulzSecが以前に公開したアカウントやどこかから流出したアカウントを組み合わせただけのリストだったようです。しかも、そのアカウントの大半はスパムアカウントとして停止されたものであるうえ、パスワードも間違っているものがほとんど。大騒ぎになった割に、実際に漏えいしたユーザーはほとんどいなかったようでした。

　この件は、もちろん日本のタイムライン（TL）でも大騒ぎになり、Pastebinにアクセスして自分のパスワードが流出してないかどうか確認しようとする人が続出しました。また、「流出したパスワードを使ってそのユーザーのパスワードが漏れていないか確認できる」とうたうサイトが乱立し、こちらにも多数のアクセスがあったようです。しかしセキュリティクラスタでは、どこの誰が作ったかも分からない、自称「漏えいチェックサイト」にユーザー名を入力することの危険性を懸念する声が上がっていました。

　個人情報流出関連では、5月14日、Skypeを使った英会話サービスを提供する「レアジョブ」で個人情報が流出したことが明らかになりました。Twitterでの騒ぎとは違い、こちらの事件では本当に多数のユーザーが被害に遭ってしまい、TLでも大騒ぎになりました。

　しかも、氏名や生年月日といった情報だけでなく、パスワードまでも平文で流出していたことが判明。パスワードを使い回している場合、影響はこのサイトだけにとどまらないことから、対応に追われた人も見られました。

【関連記事】 Skype英会話の「レアジョブ」で情報流出の疑い（＠ITNews） http://www.itmedia.co.jp/news/articles/1205/14/news097.html

PHPに脆弱性が見つかり大騒ぎ

　脆弱なWebサイトの中にPHPで作られたものが多いからか、開発言語の中でも何かと叩かれがちなPHPですが、ゴールデンウイークのさなか、PHP自体にセキュリティホールがあることが発見されました。

　脆弱性が発見されたのは5.3.12／5.4.2までのバージョンで、CGIとして実行されている場合、URLにある引数を付けることで、ソースコードを表示したり、リモートからスクリプトの実行を許してしまうという致命的で危険なエラーです（CVE-2012-1823）。案の定、この脆弱性を利用した攻撃もすぐに始まりました。

【関連記事】 CGI版PHPの脆弱性に注意喚起、国内でも攻撃を検出（＠ITNews） http://www.atmarkit.co.jp/news/201205/10/php543.html

　最近では、PHPをCGIとして実行するケースはあまり多くはないようです。それでもやはり、導入されている絶対数が桁違いに多いことから、セキュリティクラスタではかなり重大な問題として認識されました。自分の環境で検証したり、それを踏まえてアップデートに追われた人も多かったようです。

　この脆弱性は、自身がサーバを立ててインターネットに公開している場合はもちろん、レンタルサーバなどを借りているケースでも、レンタルサーバ事業者がアップデートを行わないままだと、知らないうちに被害者になることもあります。レンタルしている場合でも、お使いのサーバのバージョンや動作環境のチェックはしておいた方がいいでしょう。なお、日本でよく使われているレンタルサーバでは、だいたい対策は終了しているようです。

　この脆弱性は最新版のPHP（5.4.3）で解決されているので、バージョンアップすれば修正できます。けれど、この修正版においてもさらに別の脆弱性が発見され、攻撃コードが出回っているようです。PHPを使ってWebサービスを公開している場合は、くれぐれも注意したいところです。

　なお、Ruby on RailsにもSQLインジェクションの脆弱性が発見されたので、忘れずに対応しておきましょう。

　またFacebookは、この脆弱性をFacebook上でチェックした人の画面に、セキュリティエンジニアの募集ページを表示していました。「粋なことをする」と、TLの反応はおおむね好評でした。

第2回SECCON CTF、筑波大学で開催

　5月19〜20日には学生のためのCTFイベント、「第2回 SECCON CTF」が筑波大学で開催されました。動画の中継はなかったのですが、参加者や関係者のツイートが多く、参加者がエナジードリンクを片手に問題を解いていく様子、そして楽しくも体力的に厳しそうな雰囲気が伝わってきました。

　13チームによって争われたCTF大会の優勝チームは、筑波大学のifconfig。準優勝も筑波大学関連のチームだそうで、地元の利があったのかどうかは分かりませんが、筑波大学が強さを発揮したようです。

　問題の内容は公開されているわけではなく、参加者の感想ツイートやブログの投稿によってうかがい知るしかありませんが、「とても楽しかった」と、難易度も含めおおむね好評だったようです。中には、筑波大学の駅からの遠さや森の中にあるその立地に驚きを受けたツイートもありました。

　第2回のSECCON CTFでは、CTFだけではなく、セキュリティに関係したテーマに合わせてプログラムを作成して披露する「ハッカソン」も同時に行われました。こちらでは、話題の「コンプガチャ」を題材にしたゲーム「ツクランド」が最優秀作品に選ばれました。実はゲーム自体に脆弱性があり、それを利用してレアカードを不正に取得することを競う、という内容です。早速、多くの人がツクランドで遊んでみたようで（チャージすると強制的にTwitterに書き込まれる仕組み）、大受けでした。

　SECCONの第3回は9月か10月に開催されるようです。次回も楽しい大会になるよう期待したいものですね。

【関連リンク】 第二回 Seccon CTFまとめ（Togetter） http://togetter.com/li/306776

　その他にも5月は、ロシアで開催された「PHDays CTF」に日本の学生チーム「Tachikoma」が参加したり、WebでのCTF「ksnctf」が公開されるといった動きがありました。日本のCTFのすそ野も少しずつ広がっているようです。

セキュリティクラスタ、5月の小ネタ

　このほかにも、6月のセキュリティクラスタでは以下のようなことが話題となりました。6月はいったいどのようなことがTLをにぎわせるのか楽しみですね。

• 「サイバー犯罪に関する白浜シンポジウム」と危機管理コンテスト開催される
• 攻撃ツールの解説書、「実践Metasploit」が話題に
• 「Operation NewSon」が話題になるも、ほぼ何も起こらず
• Nmapが久しぶりのメジャーアップデート
• B-CASカードが書き換えられる
• NICTに不正アクセス
• サイバー攻撃に対する自衛権が行使可能になって、軍靴の響き!?
• Photoshopなど3製品の脆弱性、対応するには新製品を買えとAdobe（その後セキュリティアップデートを提供することに方針変換）
• ISPが通信内容を見てフィルタリング!?
• はまちや2さん、10万円で使い勝手とセキュリティをアドバイスという新商売を始める
• 「情報セキュリティEXPO」開催されるも、それほど盛り上がらず
• 武雄市新図書館構想、個人情報の取り扱いやプライバシーの問題で議論に
• 改正不正アクセス禁止法が施行

Profile

山本洋介山 bogus.jp 猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。

2012年4月版へ

セキュリティクラスタまとめのまとめ 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）