Hatena::ブログ(Diary)

セキュリティは楽しいかね? このページをアンテナに追加 RSSフィード Twitter

2011-06-29

LulzSecの50日間の軌跡 (Part 2)

(Part 1)はコチラ

LulzSecの正体暴露、CIAに雇われている!?

世界的に著名な「ハッカー」と言えばいろいろと名前が挙がると思うが、この人 Kevin Mitnickも間違いなくその中にはいるだろう。下村 努さんやFBIとの攻防は様々な書籍で語られているし、映画にもなっている。Mitnick氏も PSN事件や LulzSecについては注目しているらしく、それまでにも度々 Tweetしていた。そしてある日(6/4)、こんな Tweetを。

リンク先の Pastebinにはこんな内容が…

http://pastebin.com/RBjzDQbS

####[CRIMINALS OF LULZSEC]####

After being invited to the lulzsec private channel after social engineering parr0t

I was able to learn a few interesting things about their group! Alot them have

previous cyber crime and are involved in some heavy shit!

jux = me

I BELIEVE THEY ARE BEING ENCOURAGED OR HIRED BY CIA

Here are the members of lulzsec:

[MEMBERS]

Adrian Lamo [USA]

Adrian Lamo adrian@2600.com

LulzSec LLC

108 WEST 13TH STREET

Wilmington, Delaware 19801-1145

US

+1.8889201981

Owns the domain for lulzsec.com has previous cyber crime

(この後ろにも他のメンバー情報とドメイン情報が続く。)


これを見た Mitnick氏のフォロワーは「LulzSecのメンバー情報が暴露された!」と ReTweetする人が続出した。このPastebinには他に lulzsec.comの Whois情報も掲載されており、確かに Whoisを調べるとその通りになっていた*1ドメインのコンタクト先はやはり Adrian Lamo氏。しかしこの情報にはわかる人はすぐに気がつくおかしな点がいくつもあった。彼らの Webサイトドメインは lulzsecurity.comであって lulzsec.comではない。もちろん似たようなドメインも取得しているかもしれないが、それにしたって Whoisに自分の情報をそのまま登録する間抜けがどこにいるのか。それになりよりメンバーが Adrian Lamoとは、最もありそうもない人物ではないか!WikiLeaks米軍の機密資料を提供した Bradley Manning上等兵の名前を当局に売った人物、それが Adrian Lamo氏なのである*2WikiLeaksを支援している Anonymousから忌み嫌われている人物がよもや LulzSecのメンバーのはずがない。つまりこの情報は「釣り」だったわけだ。

もちろん Mitcnick氏はこれらを十分承知のうえで、ネタとしておもしろいと思って Tweetしたわけだが、思いのほかストレートな反応が多かったことに驚いたらしく、こんな感想をもらしている。


この話には後日談があって、この数日後にリークされる LulzSecIRCチャットのログに、この件について彼らが話をしている様子が記録されている。どうやら LulzSec自身が仕組んだネタだったようだ。


Sownage2

LulzSecはその後も Sonyに粘着した。続いて彼らが Sownage2と称してリリースしたのは、SCE Developer Network (www.scedev.net)のソースコード一式と、Sony BMGの内部ネットワーク情報だった(6/6)。

Sownage 2 Press Release

Konichiwa from LulzSec, Sony bastards!

We've recently bought a copy of this great new game called "Hackers vs Sony", but we're unable to play it online due to PSN being obliterated. So we decided to play offline mode for a while and got quite a few trophies. Our latest goal is "Hack Sony 5 Times", so please find enclosed our 5th Sony hack.

Enjoy this 54MB collection of SVN Sony Developer source code. That's hackers 16, Sony 0. Your move!

ACHIEVEMENT UNLOCKED: HACK SONY 6 TIMES! Oh damn, we just did it again, please also find enclosed internal network maps of Sony BMG.

Lulz Security

(こんにちは(Konichiwa)と日本語で挨拶している!)


なぜ彼らが執拗に Sonyを狙ったのか理由はよくわからないが、世間の注目を集めていた PSN事件に便乗する形で、彼ら自身の知名度も上がったことは間違いない。5月末には1万人に満たなかった @LulzSecフォロワーも、1週間後のこの頃には10万人にせまろうとしていた。

以下のグラフは Twittercounter.comからの引用。

f:id:ukky3:20110629224655p:image


IRCログのリーク、そして LulzSecが逮捕された?

Sownage2のリリース直後、2つの事件が続けておきた。まず最初に [Full Disclosure]というメジャーなメーリングリストLulzSecIRCチャットのログと称するものが投稿された(6/6)。後から振り返ってみると、結果的にこの事件は LulzSecのその後の活動にかなりの影響を及ぼしたと考えられる。

Full Disclosure: LulzSec EXPOSED!

f:id:ukky3:20110629224901p:image


チャットの内容についてはこれまでにも度々触れたが、実際に起こっている LulzSecの活動と矛盾がないことなどから、どうやら本物と思われた。LulzSecも否定するのは難しいと考えたのか、すぐに声明を出した。少し長いが以下に全文を引用する。

Re: "LulzSec Exposed" - Pastebin.com

Dear Internets,

Herro! Recently some of you may have seen "LulzSec exposed" logs floating around. We'd like the time to say this: LOL. Those logs are primarily from a channel called #pure-elite, which is /not/ the LulzSec core chatting channel. #pure-elite is where we gather potential backup/subcrew research and development battle fleet members, i.e. we were using that channel only to recruit talent for side-operations.

Note that people such as joepie91/Neuron/Storm/trollpoll/voodoo are not involved with LulzSec, they just hang out with us in that channel. Also, "ev0", who was allegedly arrested (?) was never a part of LulzSec or in fact the subcrew. We don't even know who he is.

Despite the fact that we're laughing heartily right now, we do take care of our subcrew, and as such the person who leaked those logs (m_nerva) has been completely hacked inside and out. We have all his online accounts, all his personal information, all the illegal things he's done on record. We destroyed him so hard that he sat there apologizing to us all night on IRC for what he did. His mother probably spanked him after we wrecked his home connection. Uh-oh, m_nerva!

Our core chatting channel remains unaffected. Our core LulzSec team is at full strength. The Lulz Boat sails stronger than ever, nice try though.

TL;DR we are too sexy to be sunk, hacking continues as usual, u mad bros?

http://lulzsecurity.com/

twitter.com/LulzSec

内容を要約すると、こんな感じ。(リークされたログはココココで全文見られる。)

  • 投稿されたログは確かに LulzSecIRCのものだが、新メンバーのリクルートのためだけに使っていたチャネルである
  • ログに出てきたメンバー(joepie91, Neuron, Storm, trollpoll, voodoo, そして ev0)は LuzSecではない
  • このログをリークした m_nervaには制裁を与えた (彼のアカウントは全てハックした)
  • LulzSecのメインの IRCチャネルは全くの無傷である

平静を装っている感じの声明だが、ここで重要なことがわかった。実はチャットログには上で挙げられたメンバーの他にも多数の Nicknameがあった。中でも発言回数の多かった Topiary, lol, Sabuなどの名前が挙げられていない。否定しなかったからといって肯定したことにはならないが、彼らが LulzSecメンバーである可能性は高いと言えるだろう。


また、リクルーティングに使っていたチャネルなので重要ではない、との主張はやや説得力に欠けた。そんなチャネルに #pure-eliteなどという大層な名前をつけるか疑問だし、ログの内容は彼らのメインのオペレーションに関するものと思えたからである。ログには

などが記録されており、単なるリクルート活動には見えない。

のちに、このログを分析して LulzSecの実態にせまろうという記事が多数掲載された。またログをリークした [redacted] (m_nerva) は制裁を受けている。(後述)


もう一つこれに付随して起きたのが、LulzSecメンバーが逮捕されたという The Epoch Timesの報道(6/6)。

Page not found

Hacker group LulzSec, also going by the name Lulz Security, leaked the source code of the Sony Computer Entertainment Developer Network, around 11 a.m. EST on June 6.

Just following the hack, LulzSec chat logs appeared online detailing a government raid of their chat server, stating “military hackers are trying to hack us.” They stated one member of the group, Robert Cavanaugh, was arrested. He is now allegedly in FBI custody.

何を思ったか Full Disclosureに投稿された内容を鵜呑みにして「LulzSecFBIに逮捕された!」と発表したのである。確かにIRCのログは本物だったが、投稿されたメールには釣り情報も一部含まれていて、これにひっかかってしまったのである。当然、裏付けるような報道は続かなかったし、その後 LulzSecTwitterで否定した。これらを見て、The Epoch Timesも間違いに気がついたらしく、その後上記の記事を訂正して謝罪している。


(Part 3)へと続く…のか?

*1:現在は違う情報になっている。

*2:彼はチャットで Bradley Manningから米軍の情報ネットワーク SIPRNetにある機密情報をダウンロードしたことを聞いていた。Wikipedia参照。

*3(Part 1)の記事を参照のこと。

*4:彼らは6月にはいって BitCoinによる寄付を受け付けるようになった。

*5:ログによると、メンバーの一人が 2600.netで接触した内部関係者から提供されたものらしい。

2011-06-28

LulzSecの50日間の軌跡 (Part 1)

散々世間を騒がせてきた LulzSec。活動を開始して 50日目となる 6/26に活動終了を宣言した。*1

50 days of Lulz

We are Lulz Security, and this is our final release, as today marks something meaningful to us. 50 days ago, we set sail with our humble ship on an uneasy and brutal ocean: the Internet. The hate machine, the love machine, the machine powered by many machines. We are all part of it, helping it grow, and helping it grow on us.

はたしてこれは彼らの言う通り予定された行動だったのか、追い詰められた末の苦渋の選択だったのか。真相はまだわからないが、彼らの 50日間の活動が与えた影響は決して小さくはない。謎解きは一旦あとまわしにして、ここではその活動の軌跡を追ってみたい。

(注) 書き始めたらいろいろ脇道にそれて長くなりそうなので、3回くらいに分けることにしました。今回は (Part 1) です。


すべてはここから始まった

彼らは最初から Twitterをうまく活用した。LulzSecTwitter担当者(Topiaryだと言われている)の才能によるところが大きいだろう。活動終了時点でなんと約28万人ものフォロワーを集めている。2ヶ月足らずでこの数字は驚異的だ。*2

その記念すべき(?)最初の Tweetがコレ(5/7)。最初のターゲットは Fox.comだった。

そして最初のリリースは Foxのオーディション番組 X Factorの応募者情報だった。すでにその数日前から不正侵入の件はニュースになっていたので、LulzSecは事後に犯行声明を出した形になった。


なぜこれが最初のターゲットに選ばれたのかはわからない。ただこの番組はアメリカではとても有名で、情報漏洩メディアに大きく取り上げられた。また応募者の中に未成年者がかなり含まれていたこともあって関心は高かった。世間の注目を浴びるという点では成功したといっていいだろう。*3 *4


続いて彼らは Fox.comの内部情報もリークした(5/10)。これには、400人近いユーザのメールアドレスパスワード(クラック済み)が含まれていた。さらに彼らは、入手したメールアドレスパスワードを利用して LinkedInにアクセス。同じパスワードを使い回していた10人以上のユーザのアカウントログインしてデータを改ざんした。


それまで特に活動の実績がなかった LulzSecは、この Foxへの侵入事件で突如として表舞台に姿を現した。しかしこの時点では彼らの正体は全く不明だった*5

またこの頃は「我々は政治的な動機は持っていない。単に "for the lulz" でやっているだけだ。」と主張していた*6。あとになって考えてみれば、これは本音を隠すための建前だったのか。あるいは途中で路線変更を余儀なくされたのか。


Sonyが狙われた…

彼らが次に目をつけたのは PSNSOEからあわせて1億件近い情報漏洩を起こし、騒動の渦中にいた Sonyである。ちょうどこの頃、PSNが欧米で再開されたものの、すぐにパスワードリセット処理の問題が発覚。その後、Sony関連サイトで次から次へと問題が見つかり、祭の様相を呈していた時期である。

LulzSecもそこに目をつけたのか、まずは sonymusic.co.jpで SQL Injectionを発見し、その事実を公表した(5/23)。ただしこの時は特に個人情報などの漏洩はなかった。しかしその数日後、別のオペレーションを遂行中であることを明らかにしている。

LulzSec hates Sony too - Pastebin.com

@LulzSec was here you sexy bastards!

This isn't a 1337 h4x0r, we just want to embarrass Sony some more. Can this be hack number 8? 7 and a half?!

Stupid Sony, so very stupid:


PBS許すまじ!

Sonyは明日だ、今日は別のがある」という Tweetとともに始まったのが、PBS (Public Broadcasting Service)への攻撃だ(5/30)。

彼らはまず http://www.pbs.org/lulz/ を Nyan Catの画像に改ざん。画像には "All your base are belong to LulzSec"という文字が *7

f:id:ukky3:20110628174958p:image

さらに 1996年に亡くなったアメリカラッパー Tupacニュージーランドで生存している、という偽の記事を PBSWebサイトに掲載した。記事のアーカイブココで見られる。

そして最後の止めに、PBSの内部情報を大量にリーク。プレスルームやスタッフのDBに含まれるユーザ情報などを公開した。

なお LulzSec自身が PBS.orgにどのように侵入したかを解説している

  • PBS.org was owned via a 0day we discovered in mt4 aka MoveableType 4.
  • Once on the boxES, we uploaded php shell.
  • Once we got access to php shell, we rooted the ancient pbs.org boxes AKA 2.4.21 kernels and 2.6.18 fro 2008.
  • We rooted the boxes. We did not destroy the boxes or content. No rm's. We did not take over the homepage of pbs.org although we could have. You know what you call that? class.

ここで彼らの言っている MovableTypeの 0day脆弱性は、後日 Six Apartも認めて修正されているLulzSecが自分達でこの脆弱性を見つけたのか、他から提供されたものかは不明だ。


さてそもそも LulzSecはなぜ PBSをターゲットにしたのか。実は前週の 5/24に PBS Frontlineによるドキュメンタリー "WikiSecrets"において、WikiLeaksJulian Assangeへのインタビューが放映されている。(インタビュー内容は Webでも見られる。)

これに対して WikiLeaksは「報道内容は不正確であり WikiLeaksに対して誤解を与える」として強く反発。インタビューの全ての記録を自分達で公開しているLulzSecも声明の中で「WikiSecretsを見たがイマイチだった」と述べており、どうやらこれが原因のようだ。このあたり、WikiLeaksを公然と支援している Anonymousとの類似性が伺える。


ここまでの初期のリリースでは、彼ら自身の Webサイトがまだなかったため、Twitterで告知して Pastebin/Pirate Bay/Mediafireにデータをアップロードするという方法が用いられていた。


2600.net とのいざこざ

LulzSecの活動が世間を賑わせるようになるとともに、その活動に対抗する動きもではじめた。なかでも The Jester (th3j35t3r) はその筆頭である。The Jesterは反WikiLeaksや反イスラムなどを掲げる活動家 (hacktivist) で、WikiLeaksを支援する立場の Anonymousとは元々敵対関係にある。LulzSecも The Jesterとそのフォロワー達と敵対し、彼らが利用している 2600.netを攻撃ターゲットにした。5/31から6/1にかけて、irc.2600.netに対して DDoS攻撃を行ったりしている。(The Jesterはその後、LulzSecの正体を追求する活動に参加。後述。)

この数日後にこの時期(5/31-6/4)の IRCログが内部のメンバーによってリークされている。そのログにも 2600.netへの DDoSの様子が記録されている。(後述)


Sony + Ownage = Sownage

Sonyに対して別のオペレーションを実行中との事前予告があったが、その数日後にリリースが行われた(6/2)。対象になったのは、Sony Pictures, Sony BMG Belgium, Sony BMG Netherlandsの3つ。SQL Injectionにより情報を不正に入手したようだ。なかでも Sony Picturesからは100万件近い大量の個人情報が流出したとされた。しかし Sony Picturesが後に確認したところ、影響があったのは約37,500人だということだ。どうも LulzSecは約100万のレコードにアクセスできたものの全てを取得したわけではないらしい。

また彼らはこのタイミングにあわせて、自分達の独自ドメインのサイト lulzsecurity.comを立ち上げた。Whois情報によると、このドメインは 6/1にバハマレジストラ internet.bsで登録されたものであり、IPアドレスからは Cloud Flareのサービスを利用していることがわかった。Cloud Flareホスティングサービスではないので、コンテンツはどこか別のサーバ上にある。そのためこれ以降、LulzSecに敵対する勢力は実際のサーバIPアドレスを探索することに必死になった。*8


FBIも怖くない!?

LulzSecはかなり前から #FuckFBIFriday などのハッシュタグでつぶやいており、FBIを敵対視していることをうかがわせた。そして Sownageに続いてFBI関連情報をリリースした(6/3)。ターゲットになったのは Infragardのアトランタ支部。Wikipediaによると、Infragardは FBIアメリカ民間企業が協力して運営する非営利団体で、情報の共有や分析などを行っている。LulzSecはそのサーバに侵入してデータを不正に入手、約700MBのデータを BitTorrentで放出した。

しかし中身をよく見てみると、実際に Infragardから流出したのは約170人分のユーザIDとパスワードだけ。それ以外は実は UnveillanceというBotnetの研究などを行っている企業の社内メール約1,000通だった。LulzSecはこの会社のオーナーが自分の会社と Infragardで同じパスワードを使い回していることを見つけ、途中からこの会社にターゲットを切り替えたようだ。このユーザになりすましてメールデータを全て取得したのち、IRCでユーザに接触。そのときの IRCログもあわせて公開している。LulzSecによると、このユーザは侵入の件について黙っていてほしい、自分の敵を攻撃するのに協力してくれれば報酬を払う、と懐柔をはかろうとしたらしい。

ところが Unverillance側は真っ向からこれに反論。プレスリリースの中で、LulzSec側が金銭を要求したと主張した。これには LulzSecも黙っておらず、再び主張を繰り返した


真相は当事者にしかわからない。しかし流出したメールから、Unveillanceはリビアへのサイバー攻撃に関与した疑いがもたれている。また同じアトランタに拠点のある Endgame Systemsの名前もメールにでてくる。Endgame Systemsは元ISSや元CIAのメンバーが 2010年に立ち上げた謎の多い会社で、HBGary事件の際にメールのやりとりに登場したことで注目された会社である。(このあたりの事情については Barrett Brownの OpMetalGearがまとめている。コチラを参照。)

どちらも特殊な事情を抱えた会社のようだ。


(Part 2)へと続く…のかな?

*1:日本のメディアはほとんど「ラルズセック」と呼んでいるが、元々の呼び方になるべく忠実に「ローズセック」と呼ぶのが通である。または「爆笑セキュリティ」でも可。

*2:6月にはいった時点ではフォロワーはまだ 7,000程度だったので、実質的には1ヶ月もない。その後のリリースで急速に増えたことになる。

*3no title

*4:約73,000人の個人情報が流出し、未成年者が1万人以上含まれていた。ただし COPPAにより、13才未満は含まれていない。

*5:ただしこの頃から Anonymousに声をかけたりしている。さらに LulzSecに対して Kaylaと呼びかける Tweet反応したりもしている。Kaylaは HBGary侵入事件に関わったとされる Anonymousで、LulzSecメンバーと考えられている。

*6https://twitter.com/#!/LulzSec/status/68061814814031872

*7:これは "All your base are belong to us" という有名なミームをもじったもの

*8:Cloud Flareは後日公式ブログでこの件についてコメントしている