日本領事館のパスワードも盗まれた − 政府機関のセキュリティツール誤用 | ScanNetSecurity
2024.05.05(日)

日本領事館のパスワードも盗まれた − 政府機関のセキュリティツール誤用

8月の終わり、スウェーデンのITセキュリティ団体 DEranged Security のダン・イーガースタッド氏のブログ(*1)で、100の領事館、人権保護団体などが使っているメールアドレスとそのパスワードが一挙に公開された。すでに他誌でニュースとなっているこの話題だが、SCAN編

国際 海外情報
facebookLINE
8月の終わり、スウェーデンのITセキュリティ団体 DEranged Security のダン・イーガースタッド氏のブログ(*1)で、100の領事館、人権保護団体などが使っているメールアドレスとそのパスワードが一挙に公開された。すでに他誌でニュースとなっているこの話題だが、SCAN編集部では当事者のイーガスタッド氏に対してメールインタビューを実施したので、ここに紹介しておこう。

彼が公開したリストには、在スウェーデン・インド領事館、ダライ・ラマ事務局、 ガーナやケニアのイラン大使館、インドの国防省、香港民主党、中国民間人權陣線、そして、どの国駐在かは分かっていないが、日本領事館もそのリストに入っている。このリストは彼が手にした情報のごく一部で、何千ものパスワードが手に入ったと、彼はブログに書いていた。

このリストは最初スウェーデンのマスコミに取り上げられ、「ハッキングした」「盗聴した」といろいろ推測されながら、やがて世界的なニュースになった。

そして9月10日同氏は、Torという匿名ネットワークの、5つの Exit Nodes にスニッファーを設置し、POP3とIMAPトラフィック上の「gov, government, embassy, military, war, terrorism, passport, visa などのキーワードを探し出して」上記リストを作った、と公開した。

Torはご存知のように、オニオンルーティングを使った匿名通信システムだ。最初、米海軍調査研究所によって開発されたプロジェクトで、その後オープンソースとして誰もが使えるネットワークになっている。開発が米海軍調査研究所であり、EFF(電子フロンティア財団)も支援、推薦しているし、無料なことから、領事館、大使館、人権保護団体、政党など、情報漏えいを気にする団体が使っているのは当然だろう。だからこそこのニュースを耳にして、Torを使っているのにパスワードが盗まれてしまうのか? と、唖然とした人は多かったはずだ。

が、実は、パスワードは盗まれたのではない。Torが使う Exit Nodes にスニッファーを置くだけで手に入ってしまったのだ。イーガースタッド氏は、「Torは多数のノードを介在することによって匿名化を達成する」が、「Exit Nodesは暗号化されていない。それはTorのFAQでも説明されているからユーザーはきちんと理解しておくべきだ」と指摘している。つまり「「ToRは“匿名化”はするが“暗号化”はしない」のであり、匿名化ネットワークを、まるで暗号化ネットワークであるかのように使用していた、ユーザーの不適切な使用方法が問題だったのだ。

同氏が指摘したかったのは、このExit Nodesの問題である。彼は「Torを支援しているし、もっと使用されて欲しいと思っている。けれども、Torの仕組みをきちんと理解して、end to end の暗号化が必要であるということを分かって欲しい」と言う。なぜならば「Exit Nodesの中には、Devilhacker, Hackershavenなどの名前がついているもの、米国ワシントンで毎月5〜10TBのデータを取り扱っている団体が寄贈したノード(注:米国政府団体、たぶんNSAをほのめかしている)、身分詐欺で有名な犯罪団体のもの、私企業のもの、中国政府のものなどがあるから」だという。つまり、これら Exit Nodes の持ち主たちは、ここでイーガスタッド氏がしたのと同じように平文通信を簡単に傍受できてしまうのだ。

リストを公開したことに対する反応は? と、彼に訊ねてみたところ…

【執筆:米国 笠原利香】

【関連URL】
セキュリティ用語解説:匿名性(Anonymity)
https://www.netsecurity.ne.jp/dictionary/anonymity.html
セキュリティ用語解説:暗号(Cipher)
https://www.netsecurity.ne.jp/dictionary/cipher.html

DEranged gives you 100 passwords to Governments & Embassies
http://www.derangedsecurity.com/deranged-gives-you-100-passwords-to-governments-embassies/
Time to reveal…
http://www.derangedsecurity.com/time-to-reveal%e2%80%a6/

文系ユーザ向け、コンピュータの脆弱性をめぐるハッカー倫理の歴史
(1) フルディスクロージャーの登場からシスコゲートまで
https://www.netsecurity.ne.jp/2_9893.html
文系ユーザ向け、コンピュータの脆弱性をめぐるハッカー倫理の歴史
(2) 脆弱性の買取からオークションへ
https://www.netsecurity.ne.jp/2_9934.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  3. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  4. 山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

    山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化

  5. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  6. サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

    サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求

  7. 「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

    「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開

  8. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  9. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  10. ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向

    ビッグ・ブラザー2024 ~ 監視カメラと画像分析 その高成長市場と国際動向

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP