4月版 PSNが全部話題を持ってった


山本洋介山
bogus.jp

2011/5/13

 原発の問題と余震はまだまだ続いているものの、計画停電もなし崩しになくなっていき、徐々に落ち着きを取り戻して通常業務に戻りつつあるTwitterのタイムラインです。

 セキュリティクラスタでも震災関連の詐欺やフィッシングに関する話題は徐々に減り、大規模な侵入とメジャーなWebアプリの脆弱性についての話題が増えた4月でした。

PSNが侵入を受けて個人情報をごっそり抜かれた件

 4月20日、ソニーのPS3やPSPから接続してアプリケーションの購入などを行えるサイト、「プレイステーションネットワーク」(PSN)が攻撃を受けて、停止するという事件が勃発しました。

 当初日本では「サイトが停止している」というだけで、それほど大きく取り上げられませんでした。しかし停止期間が伸びるに従って、「ただのサイト停止ではない」という疑問を持つ人が増え、まずは海外のアカウントや海外情報を追っている人によって情報が少しずつツイートされました。

 当初は、近ごろ話題のハッカー集団Anonymousによるしわざか、PS3のハッキングに対する訴訟による恨みを買ったことによる攻撃だとの噂でした。けれど早々にAnonymousと、PS3ジェイルブレイクで訴えられたジョージ・ホッツ氏は攻撃を否定しています。TwitterのTLでも、「これまでのAnonymousの攻撃のやり方を見ても、どうも違うのではないか」と予想されていました。

【関連記事】
ハッカー集団Anonymous「われわれではない」 ソニー事件への関与否定

http://www.itmedia.co.jp/news/articles/1105/06/news041.html

 何も発表がないままPSNは停止を続け、噂だけがTwitterに流れていたのですが、25日になってとうとうソニーが被害内容を発表。「住所氏名、メールアドレスだけでなく、パスワードやクレジットカード番号を含む7700万人の個人情報が被害に遭っていた」という規模の大きさに驚く声で、TLはあふれることになりました。

 PSNに情報を登録していた人にとっては、クレジットカード番号や秘密の言葉を含めた情報が流出したのですから、たまったものではありません。中でも「パスワードが平文で保管されていたらしい」という情報に、プレステとセキュリティに興味のあるクラスタは騒然としていました。

 もちろんセキュリティクラスタの中にも、クレジットカード番号やパスワードが流出しまった人がいました。こうなると、自分自身がセキュリティに気を遣っているだけではどうしようもないこともあるのだ、と思い知らされます。

 そして、5月1日になって、ソニーによる記者会見が行われます。事実はTwitter上に流れていた情報とは異なるのかと思いきや、これまで流れていた被害状況をほぼ認める内容でした。「情報は安全だ」と信じようとしていた楽観的な登録者は、奈落の底に突き落とされることになりました。

 ソニーは「非常に高度な技術を使用して侵入された」と主張しています。けれど侵入の原因は、アプリケーションサーバの「既知の脆弱性が悪用された」という、ただセキュリティが甘かっただけのお粗末なお話です。セキュリティクラスタの人たちはおおむね呆れている様子でした。

 ただ、パスワードの保存形式については、当初平文での保存を認めたものの、後にハッシュされていたとの訂正が入り、ほんの少しだけほっとすることができました。また、「クレジットカード番号は暗号化されており、セキュリティコード(CVV)は入っていないので安心してほしい」と説明されていますが、海外ではすでにCVV入りのクレジットカード番号データベースが流出したり、流出したクレジットカード番号による被害も出ているとのツイートが流れているので、安心は禁物でしょう。

 結局攻撃の目的は公表されないまま(ソニーにも分からないのかもしれませんが)会見は終了。TLでは私怨による攻撃、あるいはボットネットを構築するための攻撃でないかなどと予想されたりしていますが、その真相も、今後どうなるかもまだ闇の中です。

 なお、ソニーはPSNに登録している人に対して

  • 会員の人は今すぐパスワードを変更してほしい
  • カードが悪用されたらお詫びします
  • お詫びは無料コンテンツで

と告知していますので、PSNに登録している人は早急にパスワードを変更しましょう。ただし、一連の事後対応についても評判は芳しくなく、すでに海外では訴訟を起こされています。

【関連リンク】
5月1日の会見まとめ

http://togetter.com/li/130176

EvernoteのXSSとおいしいお魚のお話

 mala(@bulkneets)氏は3月から、FacebookなどWebサービスの脆弱性を調査し、その脆弱性についてTwitter上で公開していました。その中の1つに、Evernoteの脆弱性がありました。

EvernoteにはXSS脆弱性があるので全員ログアウトした方がいいless than a minute ago via TweetIrcGateway Favorite Retweet Reply

調べたところIEで警告が出るのでXSSフィルタを無効にしろとアナウンスしてる http://bit.ly/fFhQuh アホか、実際にXSSがあるんだよ http://bit.ly/hVGieWless than a minute ago via TweetIrcGateway Favorite Retweet Reply

 これらのツイートを見て、Evernoteでは少しずつ修正が行われました。けれどどうにも修正がうまくいかずに、直しても直してもXSSが残っている……という状況でした。

 ここまではよくある話なのですが、このままでは埒があかないと思ったのか、同様にEvernoteのXSSを発見していた徳丸浩(@ockeghem)さんと共にEvernoteの日本法人に呼ばれて、EvernoteのXSSとその対応について、会食しながら直接話をすることになったようです。

 どうやら会食のメニューはキンキなどのおいしいお魚だったようで、大変満足された様子でした。Evernoteとしても、一度のおいしい会食だけで、実際に依頼すると高額になっても仕方のないセキュリティコンサルティングを受けられたわけですから、お互いにとっていい結果になったのではないでしょうか。

 今回は、こんな風に直接の話し合いがよい結果に結び付きました。けれど過去には、脆弱性を指摘した人がベンダから呼び出しを食らって訴訟をちらつかされたり、恫喝されたりしたケースもあるようです。あまり呼ばれてノコノコ飛び出ていくのもどうかという意見もありました。

マジレスすると、対策のために脆弱性の発見者を呼びつけるというのは、発見者の心理的・物理的負担が大きいので、企業の対応としては全くもって勧められない。less than a minute ago via web Favorite Retweet Reply

 しかしながら、直接の会談が行われた後もEvernoteに存在したすべての脆弱性が消えているわけではないようです。JavaScriptを駆使した大規模なWebサービスを構築するのは大変なんだなと思います。

 また、FacebookEvernoteの他に、BelugaBoxcarなどでもXSSが発見されています。これらのサービスを利用して、PCからでも携帯からでも家でも出先でもメモやクリップを取りたいという貪欲な方は、いまのところ脆弱性が存在するリスクを踏まえたうえで使用するのがいいかと思います。

チームステゴマ2、CODEGATE決勝は?

 日本の誇る「チームステゴマ2」が、CODEGATEのCTF予選を見事1位で通過したことは先月お伝えしたとおりですが、4月4日〜5日にその本選が行われました。

 本選はオンライン参加ではなく、現地韓国に乗り込んでの戦いとなり、参加できるメンバーも4人に限定されました。けれど、4人以外にサポートメンバーとして参加していた@tessy_jpさん、@yoggyさんなどのリアルタイムな状況ツイートのおかげで、気分だけでも一緒にCTFに加わっている気分になれました。ありがとうございます。

 優勝して賞金を震災の義援金にするぞ、という意気込みで乗り込んだチームステゴマ2。けれど最初の出遅れが響いたのか、最後に追い込んだものの結果は惜しくも4位。優勝してゲットする予定のDEFCON CTFの参加権どころか、3位までに出る賞金ももらえないという悔しい結果に終わってしまいました。

final score #codegate #ctf Congrats ! PPP. 残念ながらsutegoma2は4位でした。 http://plixi.com/p/89611927less than a minute ago via TwitBird Favorite Retweet Reply

CODEGATEが終わった。賞金を得られるのが3位までで、結果は4位。しかも2位まではほとんど紙一重の差。うーん、結果は悪くないが悔しさが半端ない。賞金を募金する作戦だったのでなおさら…。less than a minute ago via web Favorite Retweet Reply

 地震の影響で日本からは参加できないと思われていたこともあってか、ステゴマ2は地元メディアの取材を受けたり、新聞にメンバーの写真が掲載されたりと注目を浴びていたようです。それもプレッシャーになったのかもしれませんね。

地下鉄の売店で新聞買ってみたら載っててびっくり http://yfrog.com/h4wm7mejless than a minute ago via twicca Favorite Retweet Reply

 CODEGATEの後、4月22日〜23日には「pCTF 2011」が開催されました。ステゴマ2は終盤にいったん首位に立ったものの最後に追い抜かれ、優勝したのは、CODEGATEではステゴマ2の下の順位だった「Hacking For Soju」でした。

 ということで、優勝まで紙一重のところにいるチームステゴマ2をこれからも応援していきたいと思います。そして、もうすぐ始まるDEFCONの予選を今年こそ突破して、本選出場を果たすことを期待しています。

セキュリティクラスタ、4月の小ネタ

 その他、4月にセキュリティクラスタで話題だったのは以下のようなことでした。すべてがPSNの大事件にかき消されてしまった感もありますが……。

  • エイプリルフールのはてなナウに「XSS」が!
  • ハッカーグループがユーザーのパスワードを勝手に「password」に変更してしまった!?
  • TRACEメソッド
  • SALT vs ストレッチング
  • 東電もAnonymousに攻撃されるかも!?
  • IE9リリースされるも盛り上がらず
  • パスワードの有効期限って必要なの?
Profile
山本洋介山
bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。

2011年3月版へ    


セキュリティクラスタまとめのまとめ 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間