四千万件超のカードデータ流出事件に関しての考察

はぁい。はじめまして、の方も多いのかしら？
あたしはLucrezia。普段はBlogでセキュリティ関連の毒を吐いておりますわ。

つい先日。超大国にふさわしい「素晴らしい規模の」事件があったのを覚えているかしら？そう。あの「四千万件超のカードデータ流出事件」よ。さすがは超大国アメリカ。スケールってもんが違うわね。今日はその辺をちょっと考察していきたいって思うの。

セキュリティホールの技術的考察をしてみたいんですけれども。データを垂れ流した会社は、少なくとも日本語で読めるニュースソースを見ている限りでは「セキュリティホールの詳細は公表しない」とかって一言で片付けているわ。
だから「どんなことがおきたのか」ってのは推測するしかないの。というわけで、色々と考察を重ねてみたわ。そうねぇ。ここで「とてもハイレベルな技術」を用いられたという内容であるのなら、それはそれできっと楽しいと思うの。
まだ技術に不慣れなボウヤ達にはちょっと大変だと思うんですけれども、ある程度こなれた方々ならとても興味深い「技術的考察」ってのが出来たと思うわ。
ただ…今回の件に関しては、どうもそこまでハイレベルであるような印象を、あたしは感じ取れなかったの。どうしてなのかしら？

大体気になるのが、報道で散々言われているこういったくだりなの。「不正なプログラムがインストールされた」。…どういうことかしら？冷静に「よくあるパターン」から考えると、サーバでの「バッファオーバーフロー」、クライアントPCでの「spamでワームが仕込まれた」云々、あたりを即物的に連想しちゃうわ。…でもこれってかなり「初歩で基礎的な」お話よ。一般素人さんでもこの辺を踏んじゃそろそろ釈明しにくいってのに、今回のような「システム会社の方々」が、まさか踏んじゃうものなのかしら？ただ、ここで気になるのが各社の記事なのよね。なぜか絶妙なタイミングで「カスタマイズされたワームのお話」が出てきたりしているの。…きな臭いわ？

ワームの説明はいいわよね？わかんなかったらネットでちゃんと調べるのよ。基本的には「広く大勢の方々のPCに"割とシンプルなことを"させたい」ためってのがワームの基本なんですの。だって、ワームは拡散する性質があるでしょ？あれも結局は「大量のPC資源を使って以下略」っていう発想の賜物よ。
そうねぇ。DDoSとか便利よね。ただ、ワームは「PCにこっそり住み込んで小人さんのように熱心にお仕事をする」のが本来の性質なの。拡散ってのは「手段のための一因」でしかないわ。ここであたし達はもう一度。真摯に「ワームに"何を"させたいのか」っていう部分を考察しなくてはならないの。設計思想への考察ね。これって、設計解析の基本的な手法よ？

【執筆：Lucrezia Borgia　http://d.hatena.ne.jp/Lucrezia/】

──
（この記事には続きがあります。続きはScan本誌をご覧ください）
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec