ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2012-10-06

複数の国内大学への不正アクセス事案をまとめてみた。さらにGhostshellについても調べてみた。

| 20:58 | 複数の国内大学への不正アクセス事案をまとめてみた。さらにGhostshellについても調べてみた。を含むブックマーク

 GhostShellと名乗るグループが2012年10月2日、有名大学へ不正アクセスして入手したとされるデータをインターネット(Pastebin)上に公開しました。この一連の不正アクセスをGhostShellは「ProjectWestWind」と呼称し、米国アジアにおける教育に対して主張があり、認識を高めさせることを目的としている旨データの公開とともに声明を出しています。合計で12万件ものレコードが公開された*1と報じられており、公開されたリストの中には日本の大学(東京大学京都大学東北大学名古屋大学大阪市立大学)も含まれていました。

 なお、10月6日現時点でGhostShellが公開したデータは一部残存していますが、これら情報に記載のあるサイトへこの件の興味本位や検証等を目的としたアクセスは絶対行わないでください。また、正当な理由なく不必要にGhostShellが公開したデータを拡散する行為も不正アクセス禁止法 第5条(不正アクセス行為を助長する行為の禁止)に違反する可能性があるため注意してください。*2

不正アクセスを受けた大学のまとめ

 ここでは5つの大学に対して行われた不正アクセスをまとめます。不正アクセスを受け、実際に被害を確認したサイトは切断する措置を取っているようです。なお下記列挙するWebサイト不正アクセスを受けた可能性があるだけで、実際にデータが漏えいしたかどうかは公式発表次第となります。また、個人情報の漏えいが無くとも、管理者のID、パスワード(またはパスワードハッシュ)が漏えいしているケースがあります。

東京大学
京都大学
東北大学
名古屋大学
大阪市立大学

ProjectWestWind 時系列のまとめ

以下日本時間で記載。

  • 2012/08下旬
  • 2012/10/01
    • GhostShellが複数の大学組織へ不正アクセスを行い取得したと思われるデータを公開。
  • 2012/10/02
    • 名古屋大学、学内より漏えいの可能性に関する指摘を受ける。
  • 2012/10/03
  • 2012/10/04
    • 文科省が事実調査を開始。
    • 警察庁が警察本部を通じて事実確認を開始。
  • 2012/10/05

 

GhostShellとは何かをTwitterを使って調べてみた

 さて、GhostShellは「国際的ハッカーグループ」や「アノニマスとの関連がある」等とマスメディアによって報じられているものの、その具体像は明らかにされていません。GhostShellについて確認できる情報は私が知る限りではTwitterぐらいしかなく、ここではTwitterで把握可能な情報を元にまとめてみます。

 GhostShell関連と思われるTwitterアカウントは全部で9つを確認しています。グループのアカウントであるGhostShell(@TeamGhostShell)の他、広報目的としてGhostShell News(@GhostShellNews)が存在します。またTwitterアカウントでGhostShellの関連を疑わせるものとして、次のアカウント7つが確認できます。

  • DeadMellox(@DeadMellox)
    役割:GhostShellリーダー
    Twitter開始日:2012年4月27日〜
    Tweet数:69(2012年10月6日現在)
  • Shic Boy(@S1k_B0y)
    役割:GhostShellメンバー。昨年8月Antisecに参加していた可能性がある。
    Twitter開始日:2011年8月23日〜
    Tweet数:47(2012年10月6日現在)
  • Kenny Powers(@KennyPowurs)
    役割:アクティビスト。シリア方面に興味がある模様。(フォローアカウントより)GhostShellのメンバーかは不明。
    Twitter開始日:2012月7月4日〜
    Tweet数:27(2012年10月6日現在)
  • OphiusLab(@OphiusLab)
    役割:GhostShellとの記述があるが、メンバーかは不明。
    Twitter開始日:2012年8月26日
    Tweet数:5(2012年10月6日現在)
  • Echelon(@_Echel0n)
    役割:GhostShellメンバー。
    Twitter開始日:2012年5月6日〜
    Tweet数:15(2012年10月6日現在)
  • CalmHurricane(@CalmHurricane)
    役割:GhostShellメンバーと名乗っているが、DeadMelloxにフォローされていない。
    Twitter開始日:2012年9月3日〜
    Tweet数:0(2012年10月6日現在)

 

 これらTwitterアカウントのフォロー・フォロワーの関係を分析したのが下の図です。これを見ると大半のアカウントもGhostShellをフォローしているものの、メンバーを名乗っていながらリーダーのDeadMelloxにフォローされていないアカウントもあり、実際これらが本当にメンバーであるかは分かりません。また今回のProjectWestWindについてツイートを行っているメンバーはDeadMelloxのみであり、この不正アクセスに他メンバーがどの程度の関与をしているか定かではありません。またTwitterで見られた情報であるため、この他に(Twitterを使っていない)メンバーがいることも当然考えられます。

f:id:Kango:20121007045037p:image

GhostShellのグループアカウントは2008年から存在

 グループアカウントであるGhostShell(@TeamGhostShell)ですが、このアカウント自体は2008年9月1日から存在するアカウントです。このGhostShellが過去ツイートした記録を可能な範囲(2008年11月〜2012年10月)で確認しましたが2008年11月から2011年の12月までWebの記事をつぶやくことが大半であり、少なくともこれら期間の間に何らかの不正アクセスを行ったことの報告等のツイートは見られませんでした。紹介しているWeb記事もアメリカクリエイター向けオンラインマガジンMAMi Magazineに関するものが多くを占めているようです。

 この傾向に変化が見られたのは2012年1月で、SOPAMegaUpload閉鎖を受けてアノニマス業界団体DoSを行ったとされる#OpMegauploadについてつぶやいている形跡を確認できます。このOpMegaUploadの影響を受けたかは不明ですが、6月からは不正アクセスを行いそれをPastebin上に公開する活動を始め、以降このような不正アクセス関連の活動に関するつぶやきが中心となっているようです。

 Ghostshellのアカウントからアノニマスを名乗るTwitterアカウントへメンションを送るなどして接触を取り始めたのは今年6月に入ってからです。また、リーダーのDeadMelloxは2012年4月27日に登録が行われています。これを元にしてGhostShellが「今年5月頃から活動を始めた」と言われているのでしょう。

 GhostShellのツイートでは、過去アノニマスが行ったオペレーションへの関連性は確認できなかったものの、GhostShellのメンバーはアノニマスアカウントをフォローしていたり、またAntisecの活動にも関与しているメンバーもおり、メディアはこれを見てアノニマスとの関連が疑われるとして報じているのかもしれません。

過去GhostShellで行われた活動

 GhostShellは過去にも不正アクセスを行い、そのデータを公開する行為を行っています。最近では2012年8月28日に軍や銀行等100のサイトを対象に100万件のデータを公開したと声明「ProjectHellFire」を出しています。この時も日本国内のサイトが不正アクセスを受け、データが公開されました。*10 *11 *12不正アクセスの手口は目新しいものではなく、SQLインジェクションがよく使われています。今回のProjectWestWindで狙われた大学のWebサイトも公開されていたURLからSQLインジェクション脆弱性を突かれ、データが漏えいした可能性があります。

まとめ

 GhostShellが不正アクセスを行った国内の大学に関する情報と、実態が明らかになっていないGhostShellに関する情報をTwitterを元に分析を行いました。

 なお、Ghostshellは次のプロジェクトの準備をしている旨ツイート*13をしており、またSQLインジェクション等の脆弱性が残存する組織のWebサイトを対象に不正アクセスを行う可能性があります。グループが行っている手口から、主要なCMSの既知の脆弱性スキャナー等で検索し手当たり次第ターゲットにしていると考えられるため、ウェブサイトの管理者の方は改めて、自身が管理されているCMS脆弱性が残存していないか確認されることを推奨します。

更新履歴