Hatena::ブログ(Diary)

セキュリティは楽しいかね? このページをアンテナに追加 RSSフィード Twitter

2011-07-08

昨日のセミナーの補足

昨日はアイティメディアさんのチャリティイベントに参加させていただきました。ご参加いただいたみなさま、どうもありがとうございました。

セミナーの内容について、まとめ記事はココTogetterココにあります。


事前に準備していたネタは十分消化できませんでした。ちょっと残念。どこか別にお話しできる機会があるといいですね。ただ会場からはなかなかするどい質問がたくさんでてきてよかったなと思います。顔見知りの参加者がとても多かったような気もするのですが…まあ気のせいでしょう。;)


時間がなくてやや言い足りなかった点もあるので少しだけ補足したいと思います。「攻撃傾向が読みにくい」「攻撃側の発信する情報を早くキャッチすることが大事」という趣旨の発言をしたと思いますが、言いたかったことはこういうことです。


過去を振り返ると、穴のあるWebサイト改ざんして旗たてて名をあげて的なものから、金銭を目的とした活動に攻撃側の主眼がうつってきたという大きな流れがあると思います。最近の LulzSecの活動や AntiSecのムーブメントは、政治的な動機が背景にあるものの、結果だけを見るとやや無差別にも見える攻撃が行われていて、過去への揺り戻しが起こっているようにも見えます。しかもそれが世界中に拡散して、各地域での活動にも影響を及ぼしている。混沌として秩序だっていないところに「読みにくさ」があると思うわけです。

一方で、これまで攻撃側は不正に取得した情報を悪用することが目的だったのに対して、今起きている(表にでてきている)事件では情報の悪用が目的ではないものも多い。脆弱性があり情報を取得できた事実を「晒す」こと自体が目的で、その悪用は二の次になっています。これは実質的な被害をさほど生じなかった過去の Web改ざんと動機の点では似ているとも言えます。しかし今回の Sonyのケースを見てもわかるように、不正に流出した約1億件の情報が悪用されたとの報告はないにもかかわらず、事後の対応には莫大な費用がかかっています。株価やブランドイメージへの影響も大きい。ユーザも様々な不便を強いられています。実質的な被害がないとはとても言えません。

情報を不正に取得して悪用する(そしてその事実はなるべく隠そうとする)ことが目的の攻撃、穴があるサイトを無差別に(あるいは政治的、その他の理由で)攻撃してその情報をただ公開して晒すことが目的の攻撃、そのどちらにも対処することが求められています。ただ動機は異なるものの、とちらも攻撃手法にさほど大きな違いがあるわけではないので、特殊な対策方法が必要になるわけではありません。これまで通りの地道な対策をやるだけです。

もう一つ、Anonymousや LulzSecに代表される活動が過去のものと大きく異なるのは、彼らが活動の大半をオープンにしているという点です。IRCを通じたオペレーションは誰でも見ることができますし、TwitterFacebookなどの SNSブログなどを通じた情報発信も積極的に行っています。そういう情報をちゃんと収集して分析すれば、彼らが何をやろうとしているか、次のターゲットはどこになるか、ある程度のことはわかります。さきほどとやや矛盾しますが、そういう観点から見ると「読みやすい」とも言えるわけです。

例えば最近の例でいうと、4月以降、東京電力が Anonymousのターゲット候補に挙がったことが 2回あります。どちらも最終的にはターゲットからはずれて攻撃は受けませんでした。記事などを読むと、関係者の方々は候補に挙がった時点でこの事実を把握していたようなので、もし仮に攻撃を受けたとしても不意を突かれることはなく、適切な対応ができたはずです。今後はこういうことが他の企業にも求められてくると思います。今回のようなケースに限ったことではないのですが、OSINT (Open Source Intelligence)をもっともっと強化しないといけない、というのが今の私の問題意識の一つです。


いずれにしても常に攻撃側にイニシアティブがあるという点は変わらないので、防御側としては今そこにある脅威が何かを理解して、できるだけ早くそれをキャッチして対応するしかないのでしょう。

2011-07-06

LulzSecの50日間の軌跡 (Part 3)

(Part 1)はコチラ。(Part 2)はコチラ

"World's No.1 Hacker"

LulzSecの活動を追いかけていて楽しいのは、彼らの周りにはネタがいくつもちりばめられていること。前回の記事では LulzSec自身が仕込んだネタを紹介したが、他にもいくつかあった。

まずは LIGATT Securityの話。LIGATT Securityの CEOである Gregory D. Evans氏が、Free Press Releaseに「LulzSecについて現在調査中。彼らの名前や居場所などもすでに判明している。」と発表した (6/7) *1。Evans氏は「世界一のハッカー」として悪名高い人物*2LulzSecもこれを見てすぐに Twitterで反応した。

そしてその1時間後…

この事態に一番驚いたのは、実は Evans氏だった。

要するに、本人は全く知らなかったということ。どこかの誰かがネタでプレスリリースを投稿したというのが真相だった。


さてその LIGATT騒ぎの少し前。Black and Berg Cybersecurityという会社の Joe Black氏が LulzSecに対してこんな Tweetを…。

「お前らがいい仕事してくれるおかげで、こちとら商売繁盛だ、ありがとなっ!」(超意訳)


そして何を思ったか、自社の Webサイト上で「ここの画像を書き換えることができたら 1万ドルの賞金と、会社での地位を約束するぜ!」というハッキングチャンレンジを開催した。これを知った LulzSecもおもしろいと思ったのか、なんと自分達もチャレンジに参加、すぐに画像を書き換えてしまった (6/8)。

f:id:ukky3:20110706221854p:image

「超簡単だったぜ。金はいらねぇ、とっときな。俺達は Lulzでやっただけだ!」(超意訳)


これに対して Black氏は、「俺より彼らの方が一枚上手だったな。」とコメントしている


この頃はまだ平和だった…

あれ? ひょっとしてイイ奴かも

LulzSecがこれまでとは違った対応をした例もある。英国NHS (National Health Service)のサイトに問題を見つけ、侵入して管理者パスワードを取得した LulzSecは、なぜかその事実を NHSにメールで連絡した。

http://i.imgur.com/PQ6Xk.png


また取得した情報を悪用するつもりがないことも表明。


NHSはこれが軽微な問題で患者情報などに影響を及ぼすものではないとコメントした。そういえば任天堂に侵入した時も httpd.confを晒しただけだった。彼等の行動基準はイマイチつかめない。

リリースが加速する

平和な時間が過ぎさったと思ったら、このあたりからさらに一段と彼らのリリースが加速していくことになる。

まずは porn.comなど複数のポルノサイトに登録されているメールアドレスパスワード約26,000人分を公開 (6/10)。


すぐ後に Endgame Systemsと Prolexicの 2社に関する情報(dox)を公開。Endgame Systemsについては (Part 1)でも少し触れたが、HBGary事件後に注目された謎の会社。そして Prolexicは DDoS対策サービスを提供する会社で、Anonymousによる Sonyへの攻撃の際に Sonyが対抗手段としてこのサービスを利用している。(コチラの記事も参考にどうぞ。)

つまりどちらも Anonymousと関係の深い(敵対する)会社である。6/6の IRCログのリーク以降(というかその前から?)、LulzSecは Anonymousと関連があることを特に隠すつもりがないように見えた。


続けて、Sony関連の 3つのサイトに SQL Injectionの脆弱性があることを公表 (6/12)。ただし特に内部情報は公開しなかった。


そして翌 6/13にはなんとアメリカ合衆国上院のサイト Senate.govと、ゲーム会社の Bethesda Softworksの内部情報をリーク。Senate.govについてはサーバのシステム情報だけだったが、Bethesdaについては個人情報を含む内部のデータベース情報が大量に含まれていた。

電リクDDoS祭

さらに彼らの悪ふざけ(?)はエスカレート。"Titanic Takeover Tuesday"と称して、無差別 DDoS攻撃を開始した。しかも電話による攻撃先のリクエストを受け付けはじめたのである!*3

攻撃方法は定かではないが、どうやら彼らは自分達でコントロールできる Botnetを使って DDoSを行ったようだ。*4


次の日も DDoS祭は続いた。そして途中から、大量の電話リクエストをそのまま別の番号に転送するという、電話DDoS攻撃まではじめた。FBIや HBGaryの電話番号への転送を行ったりしたようだ。


そして最後の仕上げに(?)、約62,000人分のメールアドレスパスワードを公開した。入手先を公表しなかったため、当初は不明だったが、Writerspace.comから約12,000人分など、複数のサイトの情報が含まれていることが後にわかった。


(Part 3)では終わらなかったので、(Part 4)へ続く…かも?

*1プレスリリースは現在削除されている。コチラの記事で画像が見られる。

*2:もちろんこれは本人が自分で言っているネタ。本人は真面目かもしれないがw

*3:ちなみに 614-LULZSECは 1-614-585-9732のこと。U.S.の電話番号。

*4:メンバーの一人 Kaylaが Botnetをコントロールしていると言われている。

Connection: close