Black Hat Japan 2008 セキュリティの穴ではなくビジネスロジックの穴を突く Arian Evans氏

●攻撃者の関心の変化

　先に掲載されたDan Kaminsky氏のインタビューでも触れられていたが、昔の攻撃者は興味本位で不正アクセスを行っていたが、最近では明らかに金銭を求めて攻撃を行う方面にシフトしている。Love LetterやCode Redのような大規模なセキュリティインシデントが最近発生していないのはご存知の通りだが、その一因に“そんなことをしても金儲けにならない”という側面があることは見逃せない。

　インターネットの悪用がどのようにお金儲けに繋がるのかについて語られたArian Evans氏の今回の講演は、日常的に語られることがあまりないネット世界の側面を浮き彫りにするという意味で、非常に興味深い内容であった。

●チワワコンテストの必勝法

　最初に紹介されたのは、Austin American Statesmanという新聞紙が主催したチワワコンテストでのことであった。著名なセキュリティ研究者であるRobert "RSnake" Hansen氏が、ガールフレンドの同僚からその人のチワワを優勝させるよう依頼を受け、Burp Proxyというツールを利用して膨大な肯定票を送り込むことに成功した。結果として純粋な肯定票数ではトップに立ったものの、コンテスト終了間際に別の誰かが同じ方法でそのチワワに膨大な否定票を投じ、肯定票/否定票の比率で負けてしまった、ということであった。

　ここでのポイントは、順位の選出基準が肯定票の数ではなく肯定票/否定票の比率であったという点で、RSnake氏ほどの技術をもってしても、着眼点を誤ると敗北を喫してしまうという点が強調されていた。

●アイディア勝負の手口

　チワワコンテストの例で得ることができたのは愛犬を自慢する権利だけであったが、本講演では実際に金銭を得ることができる、様々な手段が紹介された。それらの多くは、聞いてみれば“なるほど”と思わされるものの、最初にそれを考えて実行に移した人の頭と思い切りの良さには感心するしかない。もちろん、現在では基本的に対策されている手口ではあるが、脇が甘い相手であれば通用する可能性は十分にあるだろう。

　本稿では、最初に採り上げられたCAPTCHA認証の突破に関する話題について紹介したい。

●CAPTCHA認証の意外な突破方法

　CAPTCHA認証は、Yahoo!やGoogleなどでアカウント登録を行う際に必要とされる。Yahoo!やGoogleのアカウントがあればYahoo!メールやGmailといったWebメールを利用できるが、これらは少なくともドメイン単位で拒否されることはないため、spammerが好んで利用する傾向がある。このため、アカウントそのものが売買の対象になっている。

　CAPTCHA認証は、spammerが機械的にアカウントを取得することを防ぐために導入されており、実際に高い効果を挙げている。

　純粋に技術的に突破するというアプローチもあるが、攻撃者は発想の転換でこれを突破している。仕組みは簡単で、適当にFlashのゲームを集めてWebサイトを作り、その利用には会員登録が必要ということにして、会員登録の画面にYahoo!なりGoogleなりのCAPTCHAを出すのである。Flashのゲームに釣られた誰かが、攻撃者の代わりにCAPTCHAを解いてくれるという訳だ。また、発展途上国の人々を雇って力任せにCAPTCHAを解かせても、攻撃者には十分に儲けが出るとの話もあった。

　機械での判別は難しくとも人間であれば瞬時に判別できる、国籍言語を問わずに誰にでも判別できるのがCAPTCHA認証の絶対条件となるため、これらの手法に対する根本的な対策は非常に困難だろう。

●得られる見返り

　上記のCAPTCHA認証の突破から上げられる収益は、それほど高くはない。むしろ、講演で紹介された各種手口の中では、得られる収益がもっとも低い手口とされていた。講演は、紹介された手口と得られる見返りの概算との紹介で締めくくられたが、おおよそ以下の通りであった。

・CAPTCHA認証を突破して得た大量のアカウントを売りさばく
$,$$$(数千ドル)

・電子クーポンのIDのパターンを看破し、架空のクーポンで大量の買い物をする
$$,$$$(数万ドル)

・大量の商品を注文後即座にキャンセル、送られてきた商品をオークションにかける
$$$,$$$(数十万ドル)

・プレスリリースWebサイトのURLのパターンを見抜き、インサイダー株取引をする
$,$$$,$$$(数百万ドル)

　いずれも専門的な技術は利用しておらず、発想の転換のみを武器として実際に大儲けすることに成功している例ばかりである。ここで紹介できなかったその他の手法について興味がある方は、Black HatのWebサイトからダウンロードできる講演資料を参照して頂きたい。

Get Rich or Die Trying "Making money on the Web, the black hat way"
https://www.blackhat.com/presentations/bh-jp-08/bh-jp-08-Evans/BlackHat-Japan-08-Evans-Make-Money-BlackHat-way.pdf

　なお、講演者がジョークを交えて進めたこともあり、本講演は各所で盛り上がりを見せたが、最高の盛り上がりを見せたのは、これらの締めくくりとして次の項目が画面に現れた瞬間であった。

・チワワコンテストでのハッキングで、RSnake氏を出し抜く
P R I C E L E S S

●人間対人間の知恵比べ

　今回の講演で紹介された内容が“攻撃”かどうかと問われれば、おそらくそうだと言わざるを得ないだろう。しかも、これらの”攻撃”はファイアウォールやIDS/IPSといった各種セキュリティデバイスでは絶対に検知することはできない。なぜならば、これらの攻撃はセキュリティの穴ではなく、ビジネスロジックの穴を突いているからである。

　Black Hatに参加すると…

【執筆：日吉龍】

【関連記事】
Black Hat Japan 2008 特別インタビュー
ダン・カミンスキーに聞く、DNS脆弱性が示唆するものこれから来るもの(1)
https://www.netsecurity.ne.jp/3_12304.html
Black Hat Japan 2008 特別インタビュー
ダン・カミンスキーに聞く、DNS脆弱性が示唆するものこれから来るもの(2)
https://www.netsecurity.ne.jp/3_12341.html

【関連リンク】
Black Hat Japan 2008
http://www.blackhat.com/html/bh-japan-08/bh-jp-08-main.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw