piyolog

複数の国内大学への不正アクセス事案をまとめてみた。さらにGhostshellについても調べてみた。

インシデントまとめ | 20:58 |

　GhostShellと名乗るグループが2012年10月2日、有名大学へ不正アクセスして入手したとされるデータをインターネット(Pastebin)上に公開しました。この一連の不正アクセスをGhostShellは「ProjectWestWind」と呼称し、米国やアジアにおける教育に対して主張があり、認識を高めさせることを目的としている旨データの公開とともに声明を出しています。合計で12万件ものレコードが公開された*1と報じられており、公開されたリストの中には日本の大学（東京大学、京都大学、東北大学、名古屋大学、大阪市立大学）も含まれていました。

　なお、10月6日現時点でGhostShellが公開したデータは一部残存していますが、これら情報に記載のあるサイトへこの件の興味本位や検証等を目的としたアクセスは絶対行わないでください。また、正当な理由なく不必要にGhostShellが公開したデータを拡散する行為も不正アクセス禁止法 第5条(不正アクセス行為を助長する行為の禁止)に違反する可能性があるため注意してください。*2

不正アクセスを受けた大学のまとめ

ここでは5つの大学に対して行われた不正アクセスをまとめます。不正アクセスを受け、実際に被害を確認したサイトは切断する措置を取っているようです。なお下記列挙するWebサイトも不正アクセスを受けた可能性があるだけであり、実際にデータが漏えいしたかどうかは公式発表がされていないため不明です。

東京大学

• 不正アクセスを受けた可能性のあるドメイン
  東京大学生産技術研究所 大口研究室(www.transport.iis.u-tokyo.ac.jp)
  大学発教育支援コンソーシアム-CoREF(coref.u-tokyo.ac.jp)
  空間情報科学研究センターシンポジウム受付(i.csis.u-tokyo.ac.jp)
  日本・アジアに関する教育研究ネットワーク(www.asnet.u-tokyo.ac.jp)
• 個人情報漏えい：あり
  • メールアドレス約2,700名分
  • 氏名約1,300名分他
• 公式発表：あり*3

京都大学

• 不正アクセスを受けた可能性のあるドメイン
  京都大学防災研究所フォーラム 21世紀COEプログラム(phoenix.dpri.kyoto-u.ac.jp)
  京都大学 図書館機構(www.kulib.kyoto-u.ac.jp)
• 個人情報漏えい：無し*4
• 公式発表：無し

東北大学

• 不正アクセスを受けた可能性のあるドメイン
  原子分子材料科学高等研究機構(www.wpi-aimr.tohoku.ac.jp)
• 個人情報漏えい：不明
• 公式発表：無し

名古屋大学

• 不正アクセスを受けた可能性のあるドメイン
  グリーン自然科学国際教育研究プログラム(iger.bio.nagoya-u.ac.jp)
  フランス語科(french.lang.nagoya-u.ac.jp)
• 個人情報漏えい：不明
• 公式発表：無し

大阪市立大学

• 不正アクセスを受けた可能性のあるドメイン
  創造都市研究科(creativecity-j.gscc.osaka-cu.ac.jp)
• 個人情報漏えい：不明
• 公式発表：無し

　

GhostShellとは何かをTwitterを使って調べてみた

　さて、GhostShellは「国際的ハッカーグループ」や「アノニマスとの関連がある」等とマスメディアによって報じられているものの、その具体像は明らかにされていません。GhostShellについて確認できる情報は私が知る限りではTwitterぐらいしかなく、ここではTwitterで把握可能な情報を元にまとめてみます。

　GhostShell関連と思われるTwitterのアカウントは全部で9つを確認しています。グループのアカウントであるGhostShell(@TeamGhostShell)の他、広報目的としてGhostShell News(@GhostShellNews)が存在します。またTwitterアカウントでGhostShellの関連を疑わせるものとして、次のアカウント7つが確認できます。

• DeadMellox(@DeadMellox)
  役割：GhostShellリーダー
  Twitter開始日：2012年4月27日〜
  Tweet数：69(2012年10月6日現在)

• Shic Boy(@S1k_B0y)
  役割：GhostShellメンバー。昨年8月Antisecに参加していた可能性がある。
  Twitter開始日：2011年8月23日〜
  Tweet数：47(2012年10月6日現在)

• Kenny Powers(@KennyPowurs)
  役割：アクティビスト。シリア方面に興味がある模様。(フォローアカウントより)GhostShellのメンバーかは不明。
  Twitter開始日：2012月7月4日〜
  Tweet数：27(2012年10月6日現在)

• MidasBank(@MidasBank)
  役割：GhostShellメンバー。アニメ「C」の真坂木が好きな模様。
  Twitter開始日：2012年7月18日〜
  Tweet数：34(2012年10月6日現在)

• OphiusLab(@OphiusLab)
  役割：GhostShellとの記述があるが、メンバーかは不明。
  Twitter開始日：2012年8月26日〜
  Tweet数：5(2012年10月6日現在)

• Echelon(@_Echel0n)
  役割：GhostShellメンバー。
  Twitter開始日：2012年5月6日〜
  Tweet数：15(2012年10月6日現在)

• CalmHurricane(@CalmHurricane)
  役割：GhostShellメンバーと名乗っているが、DeadMelloxにフォローされていない。
  Twitter開始日：2012年9月3日〜
  Tweet数：0(2012年10月6日現在)

　

　これらTwitterアカウントのフォロー・フォロワーの関係を分析したのが下の図です。これを見るとどのアカウントもGhostShellをフォローしているものの、メンバーを名乗っていながらリーダーのDeadMelloxにフォローされていないアカウントもあり、実際これらが本当にメンバーであるかは分かりません。また今回のProjectWestWindについてツイートを行っているメンバーはDeadMelloxのみであり、この不正アクセスに他メンバーがどの程度の関与をしているか定かではありません。またTwitterで見られた情報であるため、この他に(Twitterを使っていない)メンバーがいることも当然考えられます。

GhostShellのグループアカウントは2008年から存在

　グループアカウントであるGhostShell(@TeamGhostShell)ですが、このアカウント自体は2008年9月1日から存在するアカウントです。このGhostShellが過去ツイートした記録を可能な範囲(2008年11月〜2012年10月)で確認しましたが2008年11月から2011年の12月までWebの記事をつぶやくことが大半であり、少なくともこれら期間の間に何らかの不正アクセスを行ったことの報告等のツイートは見られませんでした。紹介しているWeb記事もアメリカのクリエイター向けオンラインマガジンMAMi Magazineに関するものが多くを占めているようです。

　この傾向に変化が見られたのは2012年1月で、SOPAやMegaUpload閉鎖を受けてアノニマスが業界団体へDoSを行ったとされる#OpMegauploadについてつぶやいている形跡を確認できます。このOpMegaUploadの影響を受けたかは不明ですが、6月からは不正アクセスを行いそれをPastebin上に公開する活動を始め、以降このような不正アクセス関連の活動に関するつぶやきが中心となっているようです。

　Ghostshellのアカウントからアノニマスを名乗るTwitterのアカウントへメンションを送るなどして接触を取り始めたのは今年6月に入ってからです。また、リーダーのDeadMelloxは2012年4月27日に登録が行われています。これを元にしてGhostShellが「今年5月頃から活動を始めた」と言われているのでしょう。

　GhostShellのツイートでは、過去アノニマスが行ったオペレーションへの関連性は確認できなかったものの、GhostShellのメンバーはアノニマス系アカウントをフォローしていたり、またAntisecの活動にも関与しているメンバーもおり、メディアはこれを見てアノニマスとの関連が疑われるとして報じているのかもしれません。

過去GhostShellで行われた活動

　GhostShellは過去にも不正アクセスを行い、そのデータを公開する行為を行っています。最近では2012年8月28日に軍や銀行等100のサイトを対象に100万件のデータを公開したと声明「ProjectHellFire」を出しています。この時も日本国内のサイトが不正アクセスを受け、データが公開されました。*5 *6 *7不正アクセスの手口は目新しいものではなく、SQLインジェクションがよく使われています。今回のProjectWestWindで狙われた大学のWebサイトも公開されていたURLからSQLインジェクションの脆弱性を突かれ、データが漏えいした可能性があります。

まとめ

　GhostShellが不正アクセスを行った国内の大学に関する情報と、実態が明らかになっていないGhostShellに関する情報をTwitterを元に分析を行いました。

　なお、Ghostshellは次のプロジェクトの準備をしている旨ツイート*8をしており、またSQLインジェクション等の脆弱性が残存する組織のWebサイトを対象に不正アクセスを行う可能性があります。グループが行っている手口から、主要なCMSの既知の脆弱性をスキャナー等で検索し手当たり次第ターゲットにしていると考えられるため、ウェブサイトの管理者の方は改めて、自身が管理されているCMSに脆弱性が残存していないか確認されることを推奨します。

更新履歴

• 2012/10/06 PM 新規公開
• 2012/10/07 AM Twitterの相関分析に誤りがあったため修正。

ツイートする