漏えいの次は改ざん――被害相次ぐ国内サイト：セキュリティクラスタ まとめのまとめ 2013年6月版

　6月のセキュリティクラスタですが、国内ではトヨタ自動車をはじめ、100件以上の企業Webサイトが改ざんされ、スクリプトを埋め込まれた件が大きな話題となりました。一方海外では、米当局が世界各国の個人情報を秘密裏に収集していたことが関係者によって暴露され、特に欧米ユーザーの間で大きな話題となっています。

　ほかに、日曜ゴールデンタイムの番組「ほこ×たて」で、ハッカーとセキュリティプログラムが対決したことや、遠隔操作ウイルス事件の捜査がようやく終了したこと、遠隔操作ウイルス事件に関連して記者が不正アクセス容疑で書類送検されたことなども、多くの注目を集めていました。

多数の国内Webサイトが無差別に改ざん

　5月末から6月半ばにかけて、国内の多数のWebサイトが無差別に改ざんされ、閲覧したユーザーを攻撃するサイトに飛ばすスクリプトを埋め込まれる事例が多発しました。改ざんについての「お詫び」が公開されたWebサイトだけで100件を超えたようです。

　Twitterでも、自分が普段から見ているサイトが改ざんされてGoogleから警告を受けたり、閲覧できなくなっていることに驚くツイートを多く見かけました。

　改ざん被害を受けた企業の中でも話題に上ることが多かったのは、トヨタやグッドスマイルカンパニーなどです。ただトヨタの場合は、当初は改ざんにもお詫びの告知にも気付いた人が少なかったようで、マスコミが取り上げてからはじめて言及する人が多かった印象です。

　ほかに不正アクセス関連では、ハピネット・オンラインが不正アクセスを受けて9609人分の個人情報が漏えいした件、大手通販メーカー、ニッセンの通販サイトで126人分の個人情報が閲覧された可能性が判明した件などが話題となりました。

取材活動？ 朝日と共同の記者書類送検される

　ここ数カ月追いかけてきた遠隔操作ウイルス事件ですが、6月4日には小学校襲撃予告、6月10日にはAKB48襲撃の犯行予告について、威力業務妨害罪と、遠隔操作ウイルスを感染させたとする不正指令電磁的記録（ウイルス）供用罪で、容疑者が追起訴されました。

　この追起訴でようやく捜査が終結し、これから裁判が行われることになります。容疑者はハイジャック防止法違反などを含む5つの罪状で10件起訴されていますが、果たして裁判でどのような証拠が提示されるのかが注目されています。タイムライン（TL）では、「ウイルス作成罪では起訴されなかったので、実は新たな証拠はないのではないか」という意見もありました。

　また一方、6月25日には、容疑者が明かしたとされるユーザーIDとパスワードを使い、犯人が使用していた別のメールアカウントにアクセスした件で、共同通信社と朝日新聞社の記者5人が書類送検されています。

　この件に関して、共同通信社は「やり過ぎだった」と認めているのに対し、朝日新聞社は「不正アクセス禁止違反の犯罪は成立しないことが明らか」という見解を発表したこともあり、TLで大きな話題となりました。

　共同通信社の記者と朝日新聞社の記者が、同じサーバに同様の手段を用いて不正アクセスしたのかどうかは明らかにはなっていませんが、Twitterを見る限り朝日新聞社を擁護する意見はほぼなく、「報道機関だからといって不正アクセスが許されるのか」「不正アクセス禁止法は社会的法益に対する罪なので、取材目的だからといって許されるはずがない」「同じパスワードだからといって、別のアカウントにアクセスするのは明らかに不正アクセス禁止法に違反している」、そして「遠隔操作ウイルス事件の容疑者は実名報道されているのに、記者はどうして実名報道されないのか」など、疑問と手厳しい意見がTLにあふれました。

期待が大きすぎた？ 「ほこ×たて」のセキュリティ対決

　6月10日には、フジテレビの「ほこ×たて」という人気番組で「どんなプログラムにも侵入できるハッカーVS絶対に侵入させないセキュリティプログラム」という対決が行われました。この件も、しばらくの間TLを賑わせました。

　ルールは、「世界に1つしかない写真を3分割し、1台のPCに1枚ずつ、絶対に見つからないように保存。ハッカー側は、その写真を15時間以内に見つけることができるかを競う」という、“ハッカー”と表現するには微妙な対決でしたが、次回予告が公開されたときからTLで話題となりました。

　放送当日も、TLは大きく盛り上がりました。事前の登場予告で、てっきり攻撃する側だとばかり思われていた杉浦社長（@lumin）率いるネットエージェントが実は守る側、攻撃側はセキュリティ系イベントではおなじみの日本在住ロシア人ハッカー、マラットさん（@touzoku）率いる楽天チームでした。セキュリティクラスタでは、互いに知らないはずがないluminさんとtouzokuさんが「はじめまして」と挨拶するところで、まず大盛り上がり。そしていよいよ対決です。

　1台目のPCでは脆弱性のある古いWebサーバを攻略して、ハッカーが30分で侵入に成功します。ただし、その中には5万枚の同名のダミーファイルが。それでも何とか目当ての写真を見つけ出しますが、TLには「コレジャナイ」という雰囲気が漂います。

　そして舞台は2台目のPCに。過程は省略されますが、何とか侵入には成功。しかし結局2つ目のPCを攻略できず、ハッカー側が負けを認める形となりました。テレビのナレーションによると、「2つ目のPCでは、ファイル名を変更していたから画像を見つけられなかった」という説明でしたが、TLでも「まったく意味が分からない」と、たくさんの疑問が残ったまま、対決コーナーは終わってしまいます。

　番組の放送時間が短かかったことに加え、セキュリティ／IT技術者ではない視聴者に向けて説明するために説明がいろいろと省略された結果、セキュリティクラスタにも一般の視聴者にとっても、よく分からない内容になってしまったようです。

　期待が高かったこともあってか、放送直後は番組内容にがっかりする人が多かったTLでした。しかし、「実は、2つ目のPCでの防御策はファイル名の変更ではなく、TrueCryptによる暗号化だった」「2つ目のPCは、ディレクターへのソーシャルエンジニアリングによって侵入された」など、番組中から番組後にかけて、luminさん本人による解説ツイートがあったことによって、納得した人も多かったようです。

　また、セキュリティクラスタ以外のユーザーからは、「PCに侵入されたのだから、その時点でネットエージェントの負けだ」というつぶやきが散見されたのが印象的でした。

セキュリティクラスタ、6月の小ネタ

　このほかにも、6月のセキュリティクラスタはこのような話題で盛り上がっていました。来月はどのようなことが起きるのでしょうね。

• NSAが世界中のデータを収集する「PRISM」プログラムが暴露される
• OPNorthKoreaに加え、再び韓国がサイバー攻撃の被害に
• Sutegoma2、DEFCON CTF繰り上がりで出場決定
• リモートアシスタンス詐欺に注意
• Interopで公開されたNICTの「NIRVANA改」がかっこいい
• SECCONってホワイトハッカー育成プログラムなの？
• 中学生がパスワードリマインダを悪用して逮捕される
• LinkedInなどがドメインハイジャックされた！？
• セキュリティキャンプの合格者発表、悲喜こもごも
• どれだけ短くSQLインジェクションできるかな？
• またまたBINDに脆弱性