夏の終わりは2ちゃんねるの情報流出事件で大騒ぎセキュリティクラスタ まとめのまとめ 2013年8月版

BlackHatにDEFCON、セキュリティキャンプといった夏の恒例行事に彩られ、何事もなく終わるかと思われた8月。しかし月末、2ちゃんねるの「●」ユーザーの情報大量流出と、ロリポップを中心としたWordPressサイトの大量改ざんという事件が立て続けに起きました。

» 2013年09月12日 18時00分 公開
[山本洋介山(bogus.jp),@IT]

 8月はBlackHatとDEFCONから始まりました。日本からも多数の参加者があったようで、タイムライン(TL)には会場の様子を伝えるさまざまなツイートが流れました。また、お盆前にはセキュリティキャンプが開催され、こちらも、参加した前途有望な若者たちや関係者のツイートがTLを盛り上げていました。

 ……と、比較的平穏なうちに8月も終わろうとしていたのですが、2つの大きなインシデントが立て続けに起こってしまいます。2ちゃんねるの「●」ユーザーの情報大量流出と、「ロリポップ!」を中心としたレンタルサーバでのWordPressサイトの大量改ざんです。夏休みが終わる直前になって、TLは情報収集と原因の推測で慌ただしくなってしまいました。

BlackHat/DEFCON 2013、今年の話題は……

 毎年おなじみ、夏のお祭りの季節です。7月31日から8月4日まで、ラスベガスではセキュリティカンファレンスの「BlackHat」とハッカーの祭典「DEFCON」が開催されました。今年も多くの日本人が参加しており、カンファレンスの模様はもちろん、宿泊先やその周辺の様子を伝えるツイートや写真がたくさんアップロードされ、日本にいながらにしてラスベガスに行っているような気分になれました。

 BlackHatの多数の発表の中では、フェムトセルのハッキングやインターネット家電、中でも温水便座のハッキングに興味をかき立てられた人が多かったようです。また、@yumanoさんは、ご自身が参加したスピーチの内容を詳しくツイートしており、こちらも非常に参考になりました。私もありがたく読ませていただきました。

 BlackHatに続けて開催されたDEFCONですが、今年はスノーデン事件の影響からか、政府関係者の入場は拒否されたようです。それでも、日本人も含め多くの参加者が集い、飲んで騒いでハックして、大いに盛り上がっていたようでした。こちらの発表の中では、車のハッキングが特に話題になっていました。プリウスがハッキングされて急加速したり、ミニクーパーをハッキングしてメーターを時計にしてしまうデモがあったようです。

 DEFCONの花ともいえるCTF競技では、予選をかろうじて突破して参戦した「Sutegoma2」が奮闘しました。途中の様子はよく分からなかったのですが、競技中10位以内をキープし続け、最終的には6位の成績。去年の最下位から大きく順位を上げ、終了時には「お疲れ様」と「おめでとう」のツイートがTLを飛び交いました。

 CTFといえば、日本でもSECCON 2013横浜大会が開催され、@kusano_kさんが見事優勝しました。こちらもおめでとうございます。

【関連記事】

セキュリティ・キャンプ中央大会2013レポート:僕らのセキュリティ5日間戦争

http://www.atmarkit.co.jp/ait/articles/1308/26/news020.html

来年は「U-50」大会も? シニアの血も沸く夏の戦い

http://www.atmarkit.co.jp/ait/articles/1309/06/news013.html


2ちゃんねるビューワ運営元がユーザーの個人情報を盗まれ大量流出

 8月26日、N.T.Technologyが運営するサービス「2ちゃんねるビューワ」(通称●)を管理するサーバが設定ミスによるデータの盗難に遭い、「さっしーえっち」を名乗るユーザーによって4万件以上の個人情報が掲示板に貼られ、流出するという事態が明らかになりました。

 不正アクセスによって流出した主な情報は、運営用のものを含むトリップ/キー情報、●を購入した人のクレジットカード情報や住所氏名といった個人情報、それに●ユーザー全員の過去十年の書き込み履歴などです。

 流出した3万件あまりのクレジットカード番号の中には、セキュリティコードを含んだものが1万件以上含まれていました。この流出が明らかになってから、急いでクレジットカード会社に連絡し、停止や変更の手続きを取ろうとしているツイートを多く見かけました。

 カード番号の流出よりももっと大きな騒ぎになったのが、書き込み履歴の流出です。誰が●を購入して書き込んだかというデータと、過去の2ちゃんねるへの書き込み履歴データが流出してしまったため、この2つを組み合わせることで、誰がどんな書き込みを行ったかをひも付けることができたのです。

 この結果、2ちゃんねる上で荒らし行為や自作自演などを行っていた多数のユーザーが特定されました。いわゆる有名コテハンの書き込みが特定されただけでなく、まとめサイトの管理人が荒らし行為を行っていたことや、ある小説家が他の作家の悪口を書いていたことなどが明らかになり、謝罪やサイトの閉鎖といった結果になりました。中には住所を特定され、写真を撮られて掲示板にさらされたり、家に実際に落書きをされた人もいたようです。

 セキュリティクラスタの中には●を購入し、データが流出した人はあまりいないようでした。しかし、一連の経緯を心配するつぶやきがあったほか、流出したデータを分析している人が見られました。また、Twitterも匿名で書き込んでいる人が少なくありませんが、「匿名だからといって、実名で書けないようなことは書かない方がいい」という意見が大勢を占めていました。

 このほかに、同じ人物と思われるユーザーが、レンタルサーバの「@pages」やフリーメールの「inter7」などの情報も流出させていました。特に@pagesの情報は、パスワードが平文で保存されていたことから、その状況にあきれ、「なぜ平文なのか」といぶかしむツイートも多く流れていました。

【関連記事】

2ちゃんねるの有料サービスでクレジットカード情報含む顧客情報が流出

http://www.atmarkit.co.jp/ait/articles/1308/26/news126.html


ロリポップなどでWordPressで構築されたサイトが軒並み書き換えられる

 8月終わりには、ロリポップなど複数の共用レンタルサーバでWeb改ざん事件が相次ぎました。WordPressで構築された多数のWebサイトが、海外の「Krad Xin」と名乗る人物によって書き換えらたのです。pastbinには、書き換えられたサイトのリストが掲示され、そこに記されたものだけでも6500件を越えていました。もちろんそれ以外にも多数のサイトが書き換えの被害に遭いました。

 一連の経緯の中では、Twitterで改ざん被害について報告した人物が、運営元の社長から恫喝まがいのツイートをされる一幕もありました。運営元は当初、「サーバには侵入されていない」と主張していましたが、最終的には大量のWordPressサイトが書き換えられていたことを認め、Webサーバの設定変更やWordPressのファイルパーミッションの変更、パスワードの変更などの対策を行っています(編集部注:その後熊谷氏は、一連の発言について謝罪しています)。

 書き換えの原因がすべて明らかになっているわけではありませんが、修正内容の報告などから推測するに、WordPressプラグインの脆弱性を突かれてサーバに侵入され、.htaccessファイルを追加され、そこからパーミッション設定が甘い他のユーザーの設定ファイルにシンボリックリンクが張られ、その設定情報を覗き見されてデータベースにアクセスし、書き換えが行われていたようです(編集部注:9月9日、上記の流れを裏付けるプレスリリースがpaperboy&co.より公表されました)。

 一連の事態を受けて、共用レンタルサーバが抱えるリスクを指摘し、「共用レンタルサーバには昔から、設定によっては他のユーザーにファイルを見られてしまう危険性が内在している。ちゃんと注意せずに提供するのも悪いし、知識もなくいい加減に使う方も悪い」との意見もありました。

【関連記事】

「ロリポップ」でWeb改ざん、8438件でデータ改ざんや不正ファイル設置

http://www.atmarkit.co.jp/ait/articles/1308/29/news102.html


セキュリティクラスタ、8月の小ネタ

 この他にも8月のセキュリティクラスタでは以下のようなことが話題となりました。9月はいったいどのようなことがTLを賑わせるのか、楽しみですね。

  • Naverに不正アクセスを行った人物が捕まり、スタッフ立ち会いの下で盗んだデータを削除
  • DNSアイコラ攻撃!?
  • FBIがTorのユーザーを標的としたエクスプロイトを埋め込んで児童ポルノを摘発
  • 中国の「百度文庫」に日本企業の社外秘資料や内部文書が1〜2年前から大量流出
  • Twitterの二段階認証が日本でも使えるように
  • じゃらんがパスワード使い回しを突いた不正ログインを受ける
  • GREEでも3万9590アカウントに不正ログイン
  • Amebaにも使い回し攻撃
  • オランダのnlドメインがハイジャックされる
  • セキュリティキャンプ開催される
  • 「Struts 2の脆弱性ってネットワーク診断で検出する? それともWebアプリ診断で?」が議論に
  • Facebookで他人のウォールに許可なく投稿できる問題発覚
  • OCNの不正ログイン、原因はブロードバンドルータに存在した脆弱性で、OCNのアカウントが盗まれた結果
  • 「やりとり型」という新しい攻撃方法が発表される
  • メールアカウントに不正アクセスした朝日と共同の記者、起訴猶予処分に

著者プロフィール

山本洋介山

bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。