ハクティビストに中国……サイバー攻撃再燃の1カ月：セキュリティクラスタ まとめのまとめ 2012年9月版

　一時期鳴りを潜めた感があったハクティビストによる攻撃が、8月の終わりくらいから再開し、日本を含め世界中のWebサイトが被害に遭っています。また日本では、尖閣諸島問題に関連して多数のWebサイトが攻撃され、中国の国旗がなびく画像に書き換えられてしまったページもありました。

　ほかにも、高木先生にステマ依頼を送る会社や荒ぶるハッカー学校が現れたり、「セキュリティあるある」タグで盛り上がったり、9月のセキュリティクラスタもいろいろな話題に彩られました。

ハクティビストによる攻撃、再燃

　Anonymousに代表されるハクティビストによるサイバー攻撃は、一時期に比べほとぼりが冷めてきたのかと思いきや、一過性のブームではなかったようです。8月末に「GhostShell」と名乗る集団が、世界中のさまざまなサイトから盗んだデータベースの中身を公表してからというもの、立て続けに情報公表が行われています。

　最も規模が大きかったのは「AntiSec」が、AppleのUDIDやデバイス名など100万件ほどのデータを公表したケースでしょう。この事件に関しては、数の多さもさることながら、「FBIから入手した」という声明もあって、Twitterでも多数の人が注目していました。

　なおAntiSecによる公開時には、氏名や住所といった個人情報は削除されていたようです。しかし、デバイス名に氏名が含まれていれば分かってしまいますし、UDIDでユーザー認証を行うサイトには、流出した情報だけで他人がなりすましてログイン可能となるなど、まったく安全というわけではないようです。

UDIDだけが漏れたのとUDIDと名前等の個人情報がセットになって漏れたのでは意味が変わってきますよね。100万件のデータはまだ見れてないのですが、どの程度セットになって漏れていたのでしょうか。

— piyokango　　　　　　　.exe (@piyokango) September 5, 2012

@piyokango いまのところ、UDID、APNSトークン、デバイス名、デバイスの種類の4情報だけ。でもデバイス名に本名と思われる名前を入れている人が日本人も含めて少なからずいますね。

— Masafumi Negishi (@MasafumiNegishi) September 5, 2012

　当初AntiSecは、これらのUDIDをFBIから入手したと発表していました。しかし実際の流出元は、電子出版事業を手掛けるBlueToadという民間企業でした。さらに、「1200万件の情報を持っている」という声明はハッタリではないかという意見もありましたが、真相はまだ明らかではありません。

公開された100万件は本物だろうが、その他の1,100万件はガセの可能性もある。FBIからというのも釣りの可能性も。これがもし釣りだとしたら、やっている奴は笑いが止まらんだろうな。

— 北河拓士 KITAGAWA,Takuji (@kitagawa_takuji) September 5, 2012

　これとは別に、Anonymousとつながりがあるといわれるハクティビスト集団、「NullCrew」がソニーモバイルなどのサイトに侵入し、多数のメールアドレスを公表しています。流出しているアドレスには、qq.comや163.comなど中国系のアドレスが多いことから、NullCrewが侵入したのは中国のサーバと見られますが、中には日本に関係ありそうなアカウントも見られました。

NullCrewと名乗るグループがSonyMobileのサイト(sonymobile.com)に不正アクセスを行ったとして、500件あまりのIDやメールアドレス（一部にはパスワードハッシュ含む）等を公開していますね。

— piyokango　　　　　　　.exe (@piyokango) September 3, 2012

　ほかにもいくつもの動きが見られ、10月になってもまだまだ、ハクティビストによる情報のリークや攻撃などは減りそうにありません。

尖閣問題で中国から多数のサイバー攻撃

　9月半ばには、日本政府による尖閣諸島の国有化に対し、中国で激しい反日デモが巻き起こりました。インターネットの世界でも同様に、日本のWebサイトに中国からと見られるたくさんの攻撃がやってきました。攻撃の内容は主にDoSとWebの書き換えです。

　DoSについてはそれほど影響はなかったようですが、いくつかのWebサイトは書き換えられて、「釣魚島は中国のもの」と書かれたり、魚釣島に中国国旗がはためく画像が置かれたりしていました。

　メディアで一番話題になったのは最高裁判所のWebサイトの書き換えでしたが、その他にも文化庁、東工大、東北大学、J:COM、日本経済新聞、JAL、有森裕子オフィシャルブログなど、官民硬軟問わず、目に付いた脆弱性のあるサイトを片っ端から書き換えたようでした。

　もちろんセキュリティクラスタでも多数の人がこの攻撃に興味を示しており、書き換えられたサイトのキャプチャ画像が報告されたり、どのような手段で攻撃が行われたか考察していました。

乗っ取られた裁判所サイトのスクリーンショットです twitpic.com/auffze

— Nobuhiro Funakushi (@nobu2794) September 14, 2012

（有森裕子オフィシャルブログ aspota.jp/blog/ と J:COM jcom-ies.co.jp/upload/index.h… と ENEA enea.co.jp/index.php が改変されている。東北大学 hosp.tohoku.ac.jp は対応中ぽい。）

— 辻堂海浜公園 (@kaihinkouen) September 18, 2012

　攻撃はしばらく続きましたが、効果があまりなかったからなのか、デモ同様尻すぼみに終わっています。とはいえ、数は少ないながらも、攻撃はまだ継続しているようです。公開サーバには脆弱性を残さないよう心がけたいものです。

ハッカー養成学院のサイトに脆弱性、指摘にも逆切れ？

　「ホワイトハッカーズ」と名乗り、ハッカー養成学院を開講したり、ハッキング練習サイトを作ったりしている@WhiteHackerZ1というアカウントがあります。この半年ほどセキュリティクラスタから生暖かく見守られていたのですが、9月以降、その動きが派手になってきました。

　どうやら、ホワイトハッカーズのサイトにある「問い合わせフォーム」の脆弱性を、情報処理推進機構（IPA）セキュリティセンターに指摘されたのですが、なぜかこれに逆ギレ。IPAからのメールをブログに貼り付け、「何の権利があって脆弱性を見つけているんだ」と公開質問状を送りつけました。

　さらにその後、別のページの脆弱性もIPAに指摘されたのですが、これにも「IPAを経由した攻撃」とまたもブチ切れ。自分のサイトの脆弱性が指摘されたメールをブログに公開してしまいました。

　そもそもIPAへの脆弱性情報届出制度には、「脆弱性は公開すべきか否か」「ユーザーの利益を考えると、指摘はどのように行うべきか」というさまざまな議論を経て作り上げられてきた長い歴史があります。仕事としてセキュリティに携わっている方ならばおそらくご存じかと思いますが、最近新たに興味を持った方にはあまり知られていないのかもしれません。

　ほかにも、ブログ記事のパクりについて、「限りなく参考にさせて頂き」という独自の見解で切り抜けようとするなど大騒ぎ。これからどうなるのでしょうか。

セキュリティクラスタ、9月の小ネタ

　その他にも9月のセキュリティクラスタではこのようなことが話題になりました。10月はどのような話題で盛り上がるのでしょうか。

• IEにまたまた大きな脆弱性で、対応に追われる人続出
• phpMyAdminにバックドアが混入されていた模様
• 「ウイルスよけ」として、hostsファイルにループバックアドレスを指定する方法って、本当に大丈夫？
• ハッシュタグ「#セキュリティあるある」がプチ盛り上がり
• ITmediaのアンケートにCSRF脆弱性（編集部注：ごめんなさい）
• キングソフトが高木浩光先生にソフトウェアの紹介依頼メールを送ったものの、「ステマ」をさらされて大騒ぎ
• 夏に続きまたまたBINDに脆弱性発見
• 永久不滅ツールバーもついに公開停止
• CSAW CTFに参加する人多数