海外における個人情報流出事件とその対応 第203回 パスワードクラッキングで問われるWebサーバのセキュリティ (2)同一パスワードを使いまわす危険性
●春から明らかになっていたアカウント攻撃
国際
海外情報
5月1日付の『TechCrunch』では、Hacker Crollがフランス語のオンラインフォーラムで、Twitterの従業員から獲得した13のスクリーンショットをポスティングしていると明らかにしている。被害に遭ったのはJason Goldman製品管理部長で、Hacker Crollがポスティングしたスクリーンショットは、Goldmanのアカウントにログインして獲得したものだ。
Hacker Crollがまず攻撃したのはGoldmanのYahooアカウントだ。秘密の質問に答えることで、パスワードをリセットして、メールボックスにあるTwitterのパスワードを見つけた。セキュリティホールの攻撃やクロスサイトスクリプティング、バックドア、SQLインジェクションではなく、ソーシャルエンジニアリングを用いていたというものだ。
Twitterでは侵入が事実であることを認めている。初期のセキュリティ検査と調査で、アカウント情報が変更されたり削除されたりすることはなかったことが確認された。一方で、不正アクセスで10件の個人アカウントが閲覧されていることがわかった。
この10件のアカウントで不正に閲覧された情報は、e-mailアドレス、携帯電話の番号(アカウントに関連している場合)、そのユーザがブロックしているアカウントのリストだ。パスワード情報が明らかにされたり、変更されたり、あるいは個人のメッセージが閲覧されたということはない。Twitterでは被害に遭ったユーザに連絡を取った。
スクリーンショットによると、Hacker Crollはブリトニー・スピアーズや俳優、アシュトン・カッチャーなどの有名人のアカウントへのアクセスにも成功している。またサインアップ時に新しいTwitterメンバーが聞かれるユーザ追加や、ユーザ削除も行うことができた。
●侵入口となるフリーメールアカウント
Hacker Crollは「自分の行為(クラッキング)により、ネットでは安全な人はいないと認識する助けになれば」と、フォーラムで語っている。WebwagのCTOのThomas Landspurgは、フリーメールアカウントの秘密の質問からパスワードを獲得するのはとても簡単だということを、このハッキングで示していると語っている。
そして、そこからFacebookや別のフリーメールのアカウントに入り、さらに会社の心臓部に入ることができると警告する。Hacker Crollは極秘データにアクセスしたり、ドメイン名や管理アカウントを獲得したりすることで、事業を麻痺させることもできた。
同様に、昨年の米大統領選挙に共和党の副大統領候補として出馬した、アラスカ州元知事サラ・ペイリンのYahooアカウントも、昨年9月に不正にアクセスされている。このハッキングでペイリンのメールのメッセージ、家族やペイリン近い人のメールアドレス、家族の写真などがWikileaksにアップされてしまった。Wikileaksは漏えい文書などの投稿サイトだ。
ペイリンの事件については、ソフォスのGraham Cluleyもブログで書いている。アカウントがどのようにハッキングされたか具体的な説明はされていないとしながら、原因として、
・セキュリティ対策が施されていないPC からYahoo アカウントにアクセスした
・暗号化されていない Wi-Fi 接続でアカウントを使用した
・推測しやすくクラックしやすいパスワード (辞書に載っているような一般単語) を使っていた
・すべての Web サイトで同じパスワードを使っていた
が考えられるとしている。
他にも事件を報じた『IT World』ではe-mailセキュリティベンダー、Cloudmarkの取締役Adam O'Donnellから話を聞いている。O'DonnellはYahooがハッカーをペイリン本人と信じてパスワードをリセットしてしまった、あるいはキーロガーを仕掛けられた可能性も挙げている。
●パスワード強化の必要性
これらの事件はWebサーバに重要書類を保管する人や組織の危険にスポットをあてた。Twitterの事件を報じた『New York Times』の記事で、Palo Alto NetworksのChris King取締役は、「多くのTwitterユーザは生活に関する多くのことを公表している」と指摘している。「(ペットの)犬の名前や出身地を公表していると、パスワードの解明も難しいことではない」という。
YahooやGmail、hotmailなどのe-mailや文書を保管しているWebサイトで、個人情報を保護するのは通常、ユーザ名とパスワードだけだ。フリーメールだけでなく、Amazonをはじめとするオンラインショッピングサイト、インターネットオークション、Facebook、MySpaceなどのソーシャルネットワーキングサービスも同様だ。これらのサイトに重要な個人情報を保管しているユーザもいる。
Webサイトでのこれらのサービスが多様化するにしたがい、1人のユーザが多数のアカウントを管理することになり、混乱を避けるためにも同じパスワードを使用しているケースが多い。今年3月にセキュリティ企業、ソフォスが行った調査でも…
【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》