海外における個人情報流出事件とその対応第203回パスワードクラッキングで問われるWebサーバのセキュリティ (1)狙われるTwitter

　他人のパスワードを解析して、割り出すパスワード・クラック。インターネット上ではパスワード・クラックのためのプログラムが配布されている他、IDやパスワードも不正に販売されている。

　情報をWebサーバに保管する個人の増加に伴い、パスワードクラッキングも世界規模で増えている。そして、クラッキングで獲得した情報を用いて、インターネット・オークションを利用するという事件も起きていて、問題視されている。

●Twitter（ツィッター）から会社情報漏えい

　今年になってTwitterの従業員のe-mailアカウントがハッキングされて、会社の重要情報が漏えいする事件が何度か報じられている。Twitter側もブログで漏えいが事実であると認めている。

　7月15日付のTwitterのブログによると、管理部門の従業員が1カ月ほど前にターゲットにされて、e-mailアカウントがハッキングされている。従業員は女性だったようだ。インターネットサービスなどを紹介するブログサービス『TechCrunch』は、この従業員のクレジットカード情報も、ハッカーに不正に取得されたとしている。

　Twitterでは、個人のアカウントから、ハッカーはGoogle Appsアカウントへのアクセスを行うための情報を得たと考えている。攻撃したのはHacker Crollという名前を使うハッカーだ。

　Google AppsはGoogleのWebサイトによると、Gmail、Googleカレンダーで従業員間の連携を高め、コストと時間を節約することができる。またGoogleドキュメント、Googleビデオ、Googleサイトで社内システムを機能アップさせ、効果的な情報共有により、さらなる生産性向上を実現するツールだ。Googleのサーバに情報を保管することで、時間と予算を節約して従業員が共同作業を行うことができる。TwitterではこのGoogle Appsを用いて、文書やスプレッドシート、アイデア、財務詳細などを社内で共有している。

　Twitterの事件が大きく報じられた後、Googleのブログで、エンジニアリング・ディレクターのMacduff Hughesが、Google Appsで製品のセキュリティ水準を高めるため大きな投資を行っているとして、セキュリティ重視の姿勢を明らかにしている。特にTwitterでの事件ではパスワードリセットを悪用された可能性もあることから、Google Appsのリセットの手順も説明した。

　Google Appsの各ユーザはパスワードリセットを行うことができず、ユーザはドメイン管理者に直接、リクエストする必要がある。さらに、今年初めには、管理者がパスワードの長さを決め、またパスワード強度の指標を見ることができるようにする、新しいパスワードセキュリティツールを導入した。ビジネスユーザについては、2006年からSAML Single Sign Onプロトコールで、組織が証明書、スマートカード、バイオメトリクス、一度だけのパスワードデバイスやその他、トークンを使用できるようにしている。

　別の情報では、Evan Williams夫妻など、Twitterの従業員のe-mailボックスにアクセスができたと、Hacker CrollはKorben.infoに連絡しているという。Korben.infoはフランス語のWebサイトで、Thomas Landspurgがブログで内容の英訳を紹介している。

　不正アクセスに成功したのは、Williams夫妻をはじめTwitterの2人の従業員のPayPal、Amazon、Apple、AT&T、MobileMe、Gmailアカウントだ。また、Twitterのドメインネームの登録情報にもアクセスしている。すなわちTwitterのドメイン名を他のIPアドレスにリダイレクトできた。

　この攻撃はTwitterの共同創設者、Biz Stoneもブログに書いている。Evansの配偶者が個人で所有するe-mailアカウントが、ハッキングされている…

【執筆：バンクーバー新報西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec