2013-09-22
私のセキュリティ情報共有術を整理してみた。
考えてみた。 | |
唐突ではありますが、「どうやって情報を集めているのか?」と聞かれることも結構あるので、現状の棚卸かねて整理してみました。
自分の方法は根岸さんの次の記事の影響を強く受けています。
インプットに使っている情報源
インプットに使っている情報源は次の通り。
- feedly(インターネット)
- Google News
- 新聞
- 週刊誌
- 2ちゃんねる
(追記)
重要なことを書き漏らしていました。上で得られる情報の多くは二次情報です。「何かが起きた」ということを知り得る方法としては有効ですが、二次情報には誤報やデマ、情報の欠落が起こることがあります。そのため可能な限り一次情報も確認しています。HPの改ざんであれば、改ざんされたサイトのお詫び文は必ず確認しますし、改ざん状態のWebサイトが残っていないかキャッシュから探したりもします。そこから得られた情報(例えばマルウェアのハッシュやURL等)が見つかればさらにそこから他の情報(他関連事象の存在やドメイン登録情報等)が残っていないかをVirustotalやUrlQuery等のサービスを使って検索します。Twitterなどで犯行予告や炎上といった内容であれば実際の発端となった書込みを確認します。また現在進行中の事象であればYahooのリアルタイム検索も便利ですね。二次情報をトリガーとして一次情報を確認する癖がついているかどうかはキュレーションする上で重要な要素だと思います。
Twitterはfeedlyとともによく使うサービスの1つです。私はTweetdeckでTwitterを見ることが多いです。Twitterではセキュリティ系のキュレーション先駆者の方のリスト(こことこことか)を中心に参照しています。*1 またfeedlyのクロール間隔が長いのか、公開されてからfeedlyに載るまで時間がかかるようなので、ニュース系サイトのアカウントをリスト化してキーワードでフィルタしています。四六時中は見るわけにもいかないので、時間が出来た時に流し読みするのが基本です。なのでyousukezanさんのTwitterセキュリティネタまとめは重宝しています。速報性が必要ない、または時間が取れない方はこことセキュメモを見るだけでも個人的には十分だと思います。
気になったつぶやきはどんどんFavします。Favも含めてつぶやきはツイエバを使ってEvernoteに転送しています。他にはActivityで感度の高い人がFavった情報も参照していたりしています。
feedly
Google Readerを使っていましたが7月にサービスが終了してしまったので、移行したのがfeedlyです。Google Readerのようにサービスが終わってしまうと影響が大きく、また今後のさらなる発展に期待する意味も込めて有料版サービスを使わせていただいています。ニュースサイトやBlog等、少しでも興味をひいたものが見つかるたびに登録をしていて今購読しているフィード数は大体1000程度です。またTwitterで自分よりアンテナが高い人がいればその人がつぶやいているサイトも登録するようにしています。Googleアラートやはてなブックマーク(ホッテントリ)、GoogleTrendsもfeedly経由で見ています。
RSSリーダーの使い方は人それぞれだと思いますが、私は一通りチェックするようにしています。1日あたりの総件数を正確に数えたことはないのですがフィード数は5千件以上はあるかと思います。この数を全部を見るのは時間的にも能力的にも厳しいため、補助ツールを使って100分の1ぐらいまでチェック対象の件数を減らしています。*2
feedlyで使っている補助ツール(拡張機能)は次の2つです。
以前どこかでGoogle Readerの効率的な読み方みたいな記事を読んだことがありそこを参考にしています。「Colorful List View for Feedly」は読み込み元ごとに一覧表示されたフィードを色分けしてくれるツールです。パッと見てどこからどこまでがどのサイトからの情報なのかということが分かるようになります。「Reader Filter」は名前の通りフィルター*3をしてくれるツールです。過去自分が興味を持った記事を分析して共通的なキーワード(例えば「不正アクセス」とか)を加えるようにしています。このツールのおかげで一通りなめて見るのがかなり効率化できました。あとフィードは優先度をある程度分けています。特に移動中等は全部見ることは出来ないので、優先度が高いフィードだけを読むようにしています。
ただ補助ツールを使った弊害もあり、自分が興味のない(≒フィルター対象でない)記事は全てスルーしてしまうという点があります。セキュリティに直接関係のない世の中の動きなんかはほとんどfeedlyからは把握できていません。これはfeedlyで解決することは諦めていて、Twitterや週刊誌等他の情報源で補完するようにしています。feedlyに登録しているサイトがTwitterでつぶやかれていて自分が見逃してしまった記事があればタイトルを分析してキーワードをフィルターに加えるようにしています。あとピボット機能(縦置き)があるディスプレイは出来れば用意した方がよいと思います。:D
Google News
feedlyで気になるトピックがあった場合はGoogle Newsで横断的に検索して関連記事情報を集めるために使っています。また時間があるときは予め設定したキーワードを対象に一覧形式でみることもあります。
新聞
読んでいるのは主要5社の読売新聞、産経新聞、日本経済新聞、毎日新聞、朝日新聞です。興味のある記事メインでほとんど流し読みですが少なくとも平日は目を通すようにしています。またWebで特に気になった記事は必ず紙面でもチェックするようにしています。Webに掲載されている内容よりも紙面の方が掲載される情報が多い場合もあるためです。お金がある人は自分で買ってもいいですが、図書館にいけば大体おいてあると思います。
週刊誌
読んでいるのは週刊ダイヤモンド、東洋経済、日経ビジネス、日経コンピュータです。これも新聞同様流し読みです。セキュリティに直接関係する内容が掲載されることはほとんどありませんが、俯瞰的に色々な動向がチェックできるので便利です。動かないコンピュータの記事は結構好きです。
2ちゃんねる
気になるニュースがあった時は2ちゃんねるも見るようにしています。二次情報の書込みが中心ですが、たまに一次情報に近い情報が投稿されていることもあるためです。遠隔操作事件や先日の情報漏えいは2ちゃんねる自身が一次情報となる場合もありましたね。あと大きなインシデントがあった時は裏事情板のその組織のスレッドとかを見たりもしています。2ちゃんねるまとめサイトも40サイトぐらいをfeedly経由で見るようにしています。
アウトプットで使っているサービス
アウトプットで使っているサービスは次の通りです。
Evernote
インプットで得た情報の内、電子データはほぼ100%をEvernoteに入れています。時期にもよりますが平均して1日で40〜50ぐらいノートが増えています。9割以上Webクリップです。主にアウトプット(レポート等)を書くときに情報源として検索するデータベースになっています。懸念しているのは既にノート数が2万件Overな点で、現時点での最大ノート数は10万件だそうなので上限数に触れないか心配しています。
インプットで得られた情報の内、自分が興味を持った情報をはてなブックマーク経由でつぶやくことが多いです。
はてなブックマーク
はてなブックマークは主にEvernoteでクリップしたかどうかを確認するために使っていますが、副次的に次の効果もあります。はてなブックマーク経由でTwitterでつぶやくとそのリンクがどの程度クリックされたかが分かります。つぶやきに対してどの程度興味を持つ人がいるのか傾向をチェック出来ます。また自分よりも早くはてブをしている人がいればその人のアンテナの感度は高いかもしれないので、自分の興味を持つトピックと方向性が似ている人はその人のはてなブックマークのフィードをfeedlyに入れるようにしています。
ウェブ魚拓
はてなダイアリー等で引用する際は可能な範囲で魚拓も取る様にしています。ニュースサイトは早いものだと当日中に消えてしまいますし、お詫び情報などもほとぼりが冷めれば消されてしまうためです。
NAVERまとめ
最近使い始めました。ちょっとしたネタをまとめる際に便利で、自分のメモ用として使っています。ただアイテムが増えるとページが複数になってしまい見づらくなるため、情報量が一定以上増えた時ははてなダイアリーに掲載するようにしています。
はてなダイアリー
このBlogです。大きなトピックが起きた・起きそうな時はここにまとめるようにしています。*4
はてなダイアリーへのリンク元を見てどこからきているのかを確認しています。付加すべき情報や掲載内容が誤っているといった指摘をたまに見つけることが出来ます。
まとまりのないエントリになってしまいましたが、情報は集めるだけでなく自分からもアウトプットしなくてはダメだというのが2年ほどやってみて得られた持論です。どこにアウトプットするかは慎重に考えるべきですが、集めた情報をアウトプットしなければ情報は集まってこないと思いました。
今の課題はインプットに多くの時間がかかっている点です。自分の語学力が直接的な原因ですが海外方面の動き(特に中国、ロシア、韓国、中東、東欧等の英語圏外)に弱く、一次情報を追いかけることもほとんど出来ていません。これは効率化する方法だけでなく、キュレーションをする方が増えていくにはどうしたらいいかということも今後は考えていきたいです。アンテナは多ければ多いほど良いと思います。
更新履歴
2013/09/22 新規作成
2013/09/23 表現や誤字等を修正しました。
2013-09-07
世の中に満ち溢れる「パスワードの定期的変更」についてまとめてみた。
調べてみた | |
いつも盛り上がる「パスワードの定期的な変更」ネタですが、多くの組織でこの対策が推奨されているということをTwitterで知りました。ここではパスワードの定期的変更についてまとめます。
パスワードの定期的変更の考察・関連記事
まずはここを読みましょう。
- Bruce Schneier
- 徳丸さんの記事
- 辻さんの記事
- セキュリティ・ダークナイト(6):パスワードの定期変更という“不自然なルール” (1/4) - @IT
- セキュリティ・ダークナイト(12):大切なパスワードをつなぐ ひみつマネージャ (1/2) - @IT
- セキュリティ・ダークナイト(13):もしかしたらって距離は平行線 一番大事な不正ログイン対策 (1/2) - @IT
- 【コラム】セキュリティのトビラ (1) パスワードのトビラ(1) オンラインとオフラインを知る | エンタープライズ | マイナビニュース
- 【コラム】セキュリティのトビラ (2) パスワードのトビラ(2) 安易なパスワードが危険な理由を知る | エンタープライズ | マイナビニュース
- 【コラム】セキュリティのトビラ (3) パスワードのトビラ(3) パスワードの使い回しが非常に危険なことを認識する | エンタープライズ | マイナビニュース
- セキュリティのトビラ (4) パスワードのトビラ(4) パスワードの使い回しをやめるための具体策 | マイナビニュース
- 萩原さんの記事
- 萩原栄幸が斬る! IT時事刻々:生体認証アラカルト、パスワードの限界 (1/2) - ITmedia エンタープライズ
- 会社を強くする経営者のためのセキュリティ講座:第6回 経営者が注意すべき「パスワードクラッキング」 (1/3) - ITmedia エンタープライズ
- “迷探偵”ハギーのテクノロジー裏話:繰り返します! 「あなたのパスワード管理は大丈夫ですか?」 (1/2) - ITmedia エンタープライズ
- 萩原栄幸の情報セキュリティ相談室:パスワードクライシス・前編 パスワードって何だ? (1/2) - ITmedia エンタープライズ
- 萩原栄幸の情報セキュリティ相談室:パスワードクライシス・中編 パスワード管理を取り巻く現実 (1/3) - ITmedia エンタープライズ
- 萩原栄幸の情報セキュリティ相談室:パスワードクライシス・後編 無理のないパスワード管理をどうするか (1/3) - ITmedia エンタープライズ
- 萩原栄幸の情報セキュリティ相談室:パスワードや暗証番号の作り方と未来予想図 (1/3) - ITmedia エンタープライズ
- その他パスワードの定期的変更について扱っている記事・トピック
- @kitagawa_takujiさんによるWindowsアカウントのパスワード解読に関するまとめ
- 実際、パスワードはどれくらいの頻度で変えるべきですか?(LF質問箱) : ライフハッカー[日本版]
- 《特別座談会》 ”セキュリティ三銃士”がそろい踏み! Webサイト攻撃への対策、何ができて何ができない? 第2回
- 徳丸 浩氏に聞く「セキュリティ意識の高め方」(前編)(1/3) | 日立ソリューションズの情報セキュリティブログ
- ”パスワードの定期変更”はもはや無意味! セキュリティの現実を直視すべし─NTTデータ先端技術、辻氏
- Change it パスワードの定期的変更は意味があるか
- PASSWD superstition パスワードの定期変更は有効という幻想はなぜ繰り返しわき起こってくるのだろう?
- 「パスワードの定期的変更」は基本的には無意味 | スラッシュドット・ジャパン セキュリティ
- Togetter - 「パスワードは定期的に変更するべき、というのは都市伝説?」
- なぜパスワードを定期的に変更するのか: 佐久間裕幸の談話室
- パスワードの定期更新の有効性に関する考察 - TrickDiary
- 定期的変更とPCIDSS
パスワードの定期的変更をすることによる弊害
パスワードの定期的変更をすることで逆効果となり得るケースも考えられます。辻さんの記事から引用。
パスワードの定期的な変更を行うことで、どうしても自身が「覚えやすい」パスワード、つまりは「クラックされやすい」パスワードを設定してしまいがちではないだろうか。その上、30日や60日といった期間で定期変更を求められれば、複数のシステムで同一パスワードの使い回しが発生してしまう可能性も高い。
http://www.atmarkit.co.jp/ait/articles/1102/04/news117_3.html
パスワードの定期的変更に効果はあるのか
徳丸さんの記事に「効果がなくはない」条件が記載されています。
高橋: 結局、パスワードの定期的変更は意味がないという結論なんですか?
徳丸: そう言いたいところですが、理論的には、次の条件を満たすサイトを使わないといけない場合は、パスワードの定期的変更が効果がなくはない、ということになります。
高橋: 微妙な言い方ですね。どのような条件ですか?
徳丸: はい。箇条書きにしますね。以下の3条件を満たす場合、パスワードの定期的変更が意味がある可能性があります。
長期に情報が漏洩し続けると被害の拡大するメール、メッセージング、ストレージなどのサービスである
2段階認証、リスクベース認証、ログイン履歴確認画面などのセキュリティ施策がない
情報漏洩があっても、サイトからアナウンスされない可能性がある or フィッシング被害にあう心配がある
高橋: フィッシングは利用者の責任ですが、他は残念な感じがしますね。しかし、このようなサイトを使う場合は、パスワードの定期的変更で安全性が高まるのですか?
徳丸: いや、攻撃を受けると、過去のデータは全て漏洩した上で、次のパスワード変更までは情報が漏洩し続けます。
高橋: 次回の「定期的変更」で漏洩が止まる、と。
徳丸: いや、それも確実なものではありません。
高橋: あっ、そうなですか?
徳丸: はい。情報が漏洩してもサイトからアナウンスがないということは、サイト側も気づかない「完全犯罪」の可能性が高いわけです。この場合は、攻撃者が再度攻撃すると、パスワードを変更していても防御できません。
高橋: なんか、残念な上に、パスワードを変更しても、攻撃を断ち切れる訳ではないのですか…
http://blog.tokumaru.org/2013/08/2.html
しかし世の中には「パスワードの定期的変更」が満ち溢れている
というわけでパスワードの定期的変更には手間がかかる割に効果がそこまでないことに気づいたわけです。では、世の中ではこのパスワードの定期的変更が推奨されているのでしょうか。なお、推奨をしている対象が「オンライン」か「オフライン」か、または特に意識せず書いているかもポイントです。分かる範囲で掲載日付も記載しておきました。
インターネットサービス編
パスワードが第三者に知られた場合、その人物があなたの知らないうちにあなたのアカウントにアクセスする可能性があります。パスワードを定期的に再設定すると、このタイプの不正アクセスを制限するのに役立ちます。
https://support.google.com/accounts/answer/32040?hl=ja
パスワードなどの情報は、定期的に変更することをお勧めします。
http://www.microsoft.com/ja-jp/msaccount/faq.aspx#faq03
- Apple(2013/08/27)
情報を保護するために、iCloudパスワードは定期的に変更してください。
http://support.apple.com/kb/PH2617?viewlocale=ja_JP&locale=ja_JP
オンラインのセキュリティを確保するため、パスワードは定期的に変更することをおすすめします。
https://www.facebook.com/safety/tools/
パスワードは定期的にこまめに変更しておきましょう。特にネットカフェや他人のパソコンでログインした場合、パソコンによってはメールアドレスやパスワードの情報が残る場合があります。パスワードの管理は自己責任となりますので、厳重な管理をお願いいたします。
http://mixi.jp/help.pl?mode=item&item=546
■パスワードは定期的に変更する
http://www.rakuten.co.jp/com/faq/information/20081029.html
セキュリティー上の観点から、Yahoo! JAPAN IDのパスワードは、定期的に変更いただくことをおすすめします。
http://www.yahoo-help.jp/app/answers/detail/p/544/a_id/41961/~/%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%82%92%E5%A4%89%E6%9B%B4%E3%81%97%E3%81%9F%E3%81%84
- CyberAgent
なお以下の内容をご確認いただき、安全なパスワードの設定と定期的なパスワード変更をお勧めいたします。
https://login.user.ameba.jp/auth-vrfy/verify
- LINE
なお、本件に関わらず、複数のサイト・サービスで同じパスワードを使用せず、定期的にパスワードの変更を行うことをお薦めいたします。
http://linecorp.com/press/2013/0802585
アンチウィルスベンダ編
守る情報の機密度によって、定期的にパスワードを変更し、少なくとも1年間はパスワードを再利用することを避けてください。
http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1273
パスワードの安全性向上のための取り組みとして、「パスワードの定期的な変更」が推奨される場合もある。シマンテックでも、「パスワードは、設定した瞬間から、攻撃にさらされるために攻撃への耐性は減り続ける」という立場で、定期的な変更を勧める、としている。
http://news.mynavi.jp/articles/2013/05/31/symantec/index.html
- TrendMicro
パスワードは、定期的に更新すべきでしょうか。
もちろん、定期的に更新してください。こうして更新作業を習慣化し、サイバー犯罪者たちが簡単に破ることができないようにしておくべきです。
http://about-threats.trendmicro.com/RelatedThreats.aspx?language=jp&name=Will+Your+Passwords+Pass+the+Test%3F
- Sophos
強固なパスワードポリシー (8 文字以上、定期的な変更) を取り入れる
http://www.sophos.com/ja-jp/press-office/press-releases/2013/05/ns-sbs-lose-money-to-cybercrooks.aspx
ISP編
So-net をより安全にご利用いただくために、お客さまご自身による、定期的なパスワードの変更をお願いしております。
http://faq.so-net.ne.jp/app/answers/detail/a_id/887/~/id-%E3%82%84%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%80%81%E3%83%A1%E3%83%BC%E3%83%AB%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6%E7%9F%A5%E3%82%8A%E3%81%9F%E3%81%84
知らない間にパスワードを不正利用されないために、パスワードは定期的に変更しましょう。
http://support.nifty.com/support/information/pwd.htm
- Biglobe(2012/05/08)
パスワードの定期的な変更は、そのような不正行為の危険性を回避する有効な手段です。
http://support.biglobe.ne.jp/news/news354.html
定期的にパスワードを変更する(変更するパスワードは適切な文字数のものとし、推測されにくいものを使用する)。
https://www.iij4u.or.jp/guide/care/
通信事業者編
- NTT東日本
定期的に変更を行う。また、変更の際は、過去に設定していたものは使用しない。
https://www.billing.ntt-east.co.jp/entrance
- NTT西日本
ユーザID・パスワードは、定期的に変更されることをおすすめします。変更後のユーザID・パスワードは、必ずお客さまご自身でお控えください。
http://www.ntt-west.co.jp/my/pc/kanyu/faq/idpw.html
- NTTドコモ
より安心にdocomo IDを利用していただくため、定期的にパスワードを変更されることをお奨めします。
http://i.mydocomo.com/docomoid/utility/o-1_3c.html
- NTTコミュニケーションズ(2013/08/22)
みなさまに今後も安心してサービスをご利用いただくために、定期的なパスワード変更をお願いいたします。
http://support.ntt.com/supportTopInfo/detail/pid25000000n9
- KDDI
サポートパスワードは定期的な変更をお願いします。
http://cs.kddi.com/support/goriyou/help/use_support/keitai/moushikomi/support_idmenu.html
パスワードは定期的な変更が必要ですか?(中略)はい、管理者用パスワードは定期的な変更が必要です。
http://faq.mb.softbank.jp/detail.aspx?id=74602&a=102
SIer編
StarOffice Xシリーズなら、「IDとパスワード管理」がきちんと行われる様に、パスワード管理機能により個々の利用者をサポートします。(中略)定期的にパスワードを変更する。
http://jpn.nec.com/staroffice/kadai/security/P1.html
そこで安心しちゃダメ。パスワードは定期的に変更しようね。
http://www.fmworld.net/cs/azbyclub/qanavi/jsp/qacontents.jsp?rid=604&PID=7009-3549
セキュリティ事業者・団体編
同じパスワードの使いまわしは避け、定期的にパスワードを変更する
http://www.jnsa.org/ikusei/leakage/08_06.html
- LAC(2012/04/26)
可能であれば定期的にパスワードの変更を行う
http://www.lac.co.jp/security/report/pdf/20120426_jsoc_a18t.pdf
- 三井物産セキュアディレクション(2013/06/03)
定期的に変更することをお勧めします。
http://www.mbsd.jp/casebook/20130603.html
- NRIセキュアテクノロジーズ(2009/12/10)
Webサーバ更新用パスワードを定期的に変更し、アカウント情報が流出した場合の被害を最小に抑える
http://www.nri-secure.co.jp/ncsirt/2010/0112.html
- IBM TokyoSOC (2010/02/17)
パスワードや証明書などの認証情報を定期的に更新することで、漏洩した情報を用いた改ざん行為のリスクを低減することが可能です。
http://www-935.ibm.com/services/jp/iss/pdf/tokyo_soc_report2009_h2.pdf
- トライコーダ(2011年の記事と思われる)
一般的に言われていることですが、パスワードは類推されにくいものを利用し、定期的に変更を行う。
http://www.scsk.jp/sp/sys/articles/01/03.html
- バラクーダ(2013/08/05)
期限を設定して定期的にパスワードを変更する
http://www.barracuda.co.jp/column/entry20130805
政府関連組織編
一定の期間が経過したパスワードは、その変更をユーザに強制するとともに、過去に使用したパスワードの再使用は禁止すべきである。
http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/101.html
他人に推測されにくいパスワードを設定し、定期的に変更しましょう。
http://www.jpcert.or.jp/magazine/security/illust/part1.html#sec03
パスワードを定期的に変更しなければならない理由には、以下のようなものがあります。
・他人に推測されにくいパスワードでも、ツールを使って長時間かければパスワードが割り出されてしまうこと
・仮にパスワードが割り出されてしまっても、なりすましなどの被害を受け続けることを避けることができること
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html
- 警察庁(2012/03/15)
アクセス管理者の講ずべき措置(中略)
定期的にパスワードの変更を促す仕組み等の構築。
http://www.npa.go.jp/cyber/statics/h23/pdf040.pdf
- 防衛省(2012/09)
個々の職員がパスワードの定期的変更や不審メールへの対処といったセキュリティ上の基礎的な動作を怠ることにより、防衛省・自衛隊のシステム及びネットワーク全体がサイバー攻撃に対してより脆弱になるリスクが存在する。
http://www.mod.go.jp/j/approach/others/security/cyber_security_sisin.html
9月4日に報じられた大阪市で起きた不正アクセス事件で、同市がパスワードの定期的変更を徹底すると話したことを受けてTwitter上では盛りあがっていましたが、ユーザーだけでなく事業者へもパスワード定期的変更に関する議論が広がるといいですね。
トレンド、シマンテック、マカフィーなど一般ユーザに馴染みの深いセキュリティ会社がすべてパスワードの定期変更を勧めている状況で、2,3年程度で人事ローテーションする役所の情シスの課長さんにツッコミを入れてもしょうがないと思うけどな?
2013-09-01
Onionちゃんねるで発生した「さっしーえっち ◆MwKdCUj7XWlQ」による情報漏えいをまとめてみた。
インシデントまとめ | |
8月26日に大きな騒ぎとなった2ちゃんねるビューアの件を含む情報漏えいについてまとめています。適宜更新しています。
情報の出典は主に2ちゃんねる内の情報となるため、まとめている情報が正しいかは各自にてご判断下さい。特にデータの詳細については不明点が多いです。しばらくNAVERまとめで頑張っていましたが、情報量が増え、編集が困難となってきたため9月以降ははてなダイアリーでまとめます。
1. 「さっしーえっち ◆MwKdCUj7XWlQ」による情報漏えいの概要
8月25日未明に2ちゃんねるで騒ぎになったことをきっかけとして、翌8月26日にかけて2ちゃんねる、及び2ちゃんねるビューアの機密データがインターネット上に公開されていることが明らかとなりました。機密データはTorからのアクセスに限定される匿名掲示板 Onionちゃんねる(通称Tor板)にアップロードされています。
機密データのアップロードは「さっしーえっち ◆MwKdCUj7XWlQ」と固定ハンドル/トリップを付けた人物の投稿によるものであり、2013年7月7日19時19分から8月23日2時56分までの29回の書込みが連続的に行われています。
さらに2013年8月29日、8月31日、9月1日に「さっしーえっち」のハンドルを使った投稿が行われています。ただし、いずれもトリップはつけられていないため、8月23日まで投稿を行っていた人物によるものかは不明です。
9月1日夜、2ちゃんねるビューア等の情報を漏えいさせたトリップ付の「さっしーえっち」により、2ちゃんねるビューア経由の書込みログやフリーメールのユーザー情報が投稿されました。
当該スレッドもトリップはつけられていないものの「さっしーえっち」と固定ハンドルを付けた人物により2013年2月5日に作成されたものです。書込み内容、及びアダルトショップの情報(顧客情報やCGIファイル等)のアップロードが行われていることから、今回2ちゃんねるをはじめとした一連のアップロードと関連があるものと推測されます。
2.漏えいしたデータの全体概要
漏えいしたデータは書込み内容から「2ちゃんねる」、及び「2ちゃんねるビューア」だけでなく、複数の無料掲示板、ホームページサービスも該当します。インターネット上で広く流通しているデータファイルは主に「2ちゃんねる/BBS PINK」系データ、及び「2ちゃんねるビューア」の●購入者、お試し●利用者の個人情報データの模様です。
アップロードされたファイル情報(アダルトショップや個人名を除く)の一覧。2ちゃんねるビューア(及び2ちゃんねる)、アットワークス(@PAGES,@CHS)以外はこの件に関する発表はされていないため、データが本物であるかどうかの真偽は不明です。
その後アップされたファイルには以下のものがありますが、トリップがつけられていないため上記ファイルをアップロードをした人間と同一人物かは不明です。なお、Yahoo!Japanについては漏えいしたデータが本物であったことが発表されています。(社内メールは発表後にさらに投稿されたファイルであるため本物かは不明。)
(1)2ちゃんねる/BBS PINK系データ
2ちゃんねる/BBS PINKにおいて、キャップ、トリップ、BE等の掲示板への書込みに利用されるパスワードを含む認証情報やログ。
| No | 対象 | レコード件数 | アップロード日時 | ファイル名 | ファイルサイズ | ハッシュ |
|---|---|---|---|---|---|---|
| 1 | 一人用キャップデータ(Trip) | 49,071件 | 08/21(水) 20:04 | trip.txt.xz | 717,360 | MD5=ada4324b3da5228c16cd0d1b745f1263 SHA1=a18398cccaebe89fad58c46fcaa95abf5ff30501 |
| 2 | BE登録情報の一部(BE) | 11,722件 | 08/21(水) 20:09 | be.txt.xz | 430,012 | MD5=7b1e3832c727376bbbdfa38d0c774e5d SHA1=ee42d17813cf7ec70dd87b8c790fac6fbb68f33c |
| 3 | 書き込みログ(Cap) | ファイル14個 | 08/21(水) 20:09 | caps.txz | 15,638,980 | MD5=29a3f77fa065ff6a3013c03e98e095e9 SHA1=ca1558d7ec0dd5ad325e33dada32d70abe4cee8b |
| 4 | ビットキャッシュ関係と推定されるファイル | 2テーブルのDump ?2,479件 ?14件 | 08/21(水) 20:2 | tora3chv.sql.gz | 81,894 | MD5=0fa71a7c172aa14f9a3118baf2c98bcc SHA1=b0174d12da315ad40167f3c2f2e4fdfaabb19d6f |
(2) 2ちゃんねるビューア 購入者・試行サービス利用者の個人情報データ
2ちゃんねるの有料サービス「2ちゃんねるビューア」を利用する●の購入者、及び試行サービス「お試し●」の個人情報。サービス利用に必要となるメールアドレスやパスワード、クレジットカード情報が含まれる。
| No | 対象 | レコード件数 | アップロード日時 | ファイル名 | ファイルサイズ | ハッシュ |
|---|---|---|---|---|---|---|
| 5 | 利用者ID一覧 (●ID) | 41,595件 | 08/21(水) 20:39 | 2013-06-18●.cgi.xz | 709,972 | MD5=f9a81c4331b5e0ca2f9990fdad07a282 SHA1=8b1ddd7a81932bea47b63905b1618b53555d2687 |
| 6 | 試行版利用者ID一覧(お試し●ID) | 146,217件 | 08/21(水) 20:4 | 2013-06-18お試し●.cgi.xz | 800,144 | MD5=3346ac334493c3089295bd3e51bdd536 SHA1=888e97ca157622617efd39821de9d0afb940deb5 |
| 7 | 購入者個人情報 | 32,586件 | 08/21(水) 21:08 | sessions.cgi.xz | 1,875,572 | MD5=131a9e1e2feb36b54aa5513c5e80e848 SHA1=87b04a4f2e8103b80b3a740bef9c476a86cbf9d7 |
| 8 | 2ちゃんねるビューア書込みアクセスログ | 32,364個 | 08/21(水) 21:05 | maru.txz | 67,744,184 | MD5=3ec007fa6573ff008f87f4ded6331b90 SHA1=400a64b242ba9dfbcde5c41148bec3c353d023ab |
| 9 | お試し●アクセスログ | 150,391件 | 08/21(水) 21:35 | tiger3540.maido3.com homeulamaru14public_html ver2logs.txt.xz (ファイル名が長いため改行) | 4,322,336 | MD5=c78c174d0c256bd033fbe19cce47735b SHA1=f58b5b17d90a08696e43f31760d197192ff35e14 |
| 10 | 2ちゃんえるビューア書込みアクセスログ2 | 531個 | 09/01(日) 20:34 | .maru.txz | 45,820 | MD5=88525b1b169ba3bc7747f217cc713371 SHA1=4e2a89caf6ce7eb58ea64e52207cb1a46abc80cf |
(3) ホームページ・掲示板サービス関連と思われる情報
ファイル名や投稿内容からホームページや掲示板開設、フリーメール等の複数のサービスに関連する情報と推測される。
掲載されていたサービスは次の通り。
- @PAGESU(アットページズ) (www1.atpages.jp)
- @chs(あっとちゃんねるず)(www1.atchs.jp)
- 2ちゃんねる型無料レンタル掲示板 iPhone スマホ 動画 画像!(2chbbs.net)
- ACR WEB (center.ziyu.net)
- ようこそ!@Nosub掲示板 (bbs.nosub.tv)
- 雑談掲示板 (rodacomibbs.info)
- フリーメール inter7
| No | 対象 | レコード件数 | アップロード日時 | ファイル名 | ファイルサイズ | ハッシュ |
|---|---|---|---|---|---|---|
| 10 | @PAGES | 175,297件 | 08/21(水) 21:52 | user.sql.xz | 7,853,588 | MD5=c035fbfdf9a54a86387277f740f141e7 SHA1=bfee70de488bc0430b22c014e5464aaa59ebf63c |
| 11 | @chs(あっとちゃんねるず) | − | 08/23(金) 01:43 | ファイル名 | 13,647,580 | MD5=1ed922d283b7f190cb503f8ef65dbc68 SHA1=6693ee48c1ab8d4a29115dab814f55d2dd923b9d |
| 12 | 2ちゃんねる型無料レンタル掲示板 iPhone スマホ 動画 画像! | − | 08/23(金) 02:18 | cgi.tgz | 30,864,558 | MD5=ace588005b8e3a5eada9d68bebd31d50 SHA1=692b3e7e653831bc4dc5be24f98473d6e3be1506 |
| 13 | ACR WEB | − | 08/23(金) 02:35 | homeDBbkcenter.bak.0.xz | 4,385,424 | MD5=19514195d858d95b2dd63c56c350af1d SHA1=64077a8b62a29ade5f02ea2bef4f723c8686c2c3 |
| 14 | ようこそ!@Nosub掲示板 | − | 08/23(金) 02:46 | nosub.db.xz | 302,908 | MD5=e1b91c3ff4a6abb65e947dcf27f61d40 SHA1=c65b7222a2eb785ff22feb2a7b44526d3b2e1e3f |
| 15 | 雑談掲示板 | − | 08/23(金) 02:54 | hostlog.cgi.xz | 1,441,156 | MD5=0e2c71ba4ba27c6cf0212c85a8299a23 SHA1=78352a913166740e1a3b8ced3379b452c72b36f7 |
| 16 | アダルト画像とアダルト動画のbbspink.net | − | 08/23(金) 02:56 | all.tar | 34,375,680 | MD5=f6edbeeab7a319c1c4cf56b562cfb2c0 SHA1=83e1b5a2694b8f968e20050d3002dcc30b03f9a6 |
| 17 | Inter7 | 107,716件 | 09/01(日) 20:52 | 20130707.csv.xz | 4,983,372 | MD5=877d5d23c475fce0ad49aa460981f6a9 SHA1=8a9e39b4967291f9e7d0c17b8e5c155b9befbe09 |
(4) 外部掲示板、及びその関連データと思われる情報
2ちゃんねるではない外部掲示板の投稿に関連する情報と推測されるが、詳細不明。
掲載されていた掲示板は次の通り。
| No | 対象 | レコード件数 | アップロード日時 | ファイル名 | ファイルサイズ | ハッシュ |
|---|---|---|---|---|---|---|
| 18 | 唐揚げ | − | 07/07(日) 19:19 | storagehostingkkrsa.zip | 442,960 | ハッシュ |
| 19 | 唐揚げ mail | − | 07/11(木) 23:25 | krsa40298@zoho.com.zip | 6,702 | MD5=58ae17a93b98337085d13f5b6826a434 SHA1=ce523ba09cf9cd70b46dff8d6b5fd04280213296 |
| 20 | ****(個人名)掲示板Tor支部 | − | 07/15(月) 01:58 | ls.xz | 1,024,852 | MD5=67ae3c6d24cc536f34bc19aa6a056cf0 SHA1=83c3209d5ed7c00742fac9b47ea3543eb2945d93 |
| 21 | うさちゃんねる | − | 07/15(月) 02:53 | php.tgz | 2,101,803 | MD5=f0fdecf19c5d12a5e4ae954bf0b0df5b SHA1=fe013a9019568c92ae2de83dc26fd403c93fa30e |
| 22 | まちBBS | − | 08/21(水) 22:02 | cap.txt.xz | 64,828 | MD5=1b64ab33350fcced0b3cd1b7bc9a115e SHA1=287be9cc1068177ad0bb19580f5ed0da2196fc07 |
| 23 | 葉っぱ天国 | − | 08/23(金) 02:13 | cgi.tgz | 51,440,278 | MD5=3ef82ae103580b35396feffa599f3544 SHA1=2555b4cc7fa040a328ce68080afcb9a345eb1ca4 |
(5) 組織内部データと思われる情報
「さっしーえっち」トリップ無しにより投稿された情報。情報漏えいをしたとしてそれぞれ発表をしていますが、全て1998年頃のデータで、漏えいしたデータも既に破棄されたシステムとのこと。漏えいしたデータが古く、投稿時にトリップもつけられていないことから別人物によるものと推測されます。
掲載されていた組織は次の通り。
- Yahoo! Japan(社内メールは真偽不明)
- 東京大学
- 理化学研究所
| No | ファイル名 | アップロード日時 | ファイルサイズ | ハッシュ |
|---|---|---|---|---|
| 1 | yahoo運営パスワード.txt | 08/29(木) 02:10 | 8,148 | MD5=cdbe5fd3b343a98f792d2e752455ca3a SHA1=f232b97513fcc13aac53b466203ab2cf9ab8b725 |
| 2 | yahoo応募者履歴書.txt | 08/29(木) 02:11 | 33,927 | MD5=479cca64261c46ee07efbb28f41739f8 SHA1=31c692a5569ce71242870b7707bf82c80a7e7421 |
| 3 | staff.cgi_ | 08/29(木) 21:40 | 12,535 | MD5=3669ad0146ac117f333ba8142b89f870 SHA1=25099211b46bd2c859a74df73a291b4e2bb6309a |
| 4 | yahoo社内メール.txt | 08/31(土) 09:18 | 7,991,185 | MD5=e8ec530c2b5dbbfb510a83b97f8380b1 SHA1=677231f5d129bb3e25b0afe16336f214686985a7 |
| 5 | 東京大学パスワード.txt | 09/01(日) 02:09 | 20,169 | MD5=8458225daafa80600e7a8ab3c219ff79 SHA1=3532ef4c1edcd8aebd865b630a7dbe39580b0be4 |
| 6 | rikenパスワード.txt | 09/01(日) 19:15 | 141,401 | MD5=68802bd6fc0e54857c69db8cefa6de54 SHA1=466ea7438d915c1d91d9cfb81ec955fedc5b0e56 |
| 7 | rikenメール.txt | 09/01(日) 19:16 | 6,751 | MD5=862d154a5752422a08fefe8b49f7b7db SHA1=d97dab5d803af95fe9b0ce8a39e830abba7fad6f |
3.2ちゃんねるビューアの情報漏えい
3.1 情報漏えいの経緯・原因
2ちゃんねる運営は騒ぎが大きくなった25日22時にWebサイト上の不具合についての以下の様な報告を書きこんでいます。2ちゃんねる、2ちゃんねるビューア他関連データ類が漏えいした原因はNT Tecnology社が不正アクセスを受けたためであり、「2ちゃんねる」及び他有料サービスを行っている未来検索ブラジル社の「モリタポータル」は同サイト上で「2ちゃんねるビューア」の情報漏えいとは関係がないことをそれぞれ報告しています。*1 *2
- 2ちゃんねる運営掲示板への書込み
815 異邦ジン ★ 2013/08/25(日) 22:37:03.49 ID:???0
あ、もうバレてるのかー。。。
その漏えい問題の対策で、しばらく忙しいです。
変なホストの不具合はすでに直ってるんだけど、
ちょっと配布できない状態なんですよね。
スクリプトを更新しちゃうとチェックがめんどくさいので。
http://qb5.2ch.net/test/read.cgi/sec2chd/1376865735/815
- 2ちゃんねる運営側の発表のポイントは次の通り。
3.2「2ちゃんねるビューア」運営元 NT Technology社による対応
(1) NT Technology社によるお詫び掲載・一連の対応
「2ちゃんねるビューア」の運営元であるNT Technology社は8月26日午前中に掲載したお詫びを情報錯そうを理由に一取り下げたものの、同日午後7時頃に情報漏えいに関するお詫び文書を再掲しています。*3また8月28日、8月30日に掲載情報を更新し、クレジットカード、ビットキャッシュ、コンビニ決済利用者向けにパスワード変更の手続きについての案内を開始しました。また流出情報に関する報告を8月30日に掲載しました。*4
NT Technologyの掲載情報のポイントは次の通り。
- NT Technologyから情報漏えいしたことは事実
- 約37000件の顧客情報が漏えいした
- 2013年8月25日23時25分に漏えいの連絡を受けた
- NT Technology(2ちゃんねるビューア)のサーバーが不正アクセスを受けた
- 2ちゃんねるビューアの申込みは停止中(8月28日現在)
- 調査中のため2ちゃんねるビューアへのログインは停止中(8月28日現在)
- クレジットカード、ビットキャッシュ利用者向けのパスワード変更サイトを設置(8月28日)
- コンビニ支払利用者向けパスワード変更サイトを設置(8月30日現在)
漏えいした情報は次の通り。
- クレジット決済利用者
- 登録日時
- メールアドレス(2ちゃんねるビューアID)
- 2ちゃんねるビューアパスワード
- クレジットカード情報
- 名前
- 住所
- 電話番号
- 登録時のIPアドレスまたはリモートホスト
- コンビニ決済利用者
(参考)2ちゃんねる関連の有料サービスの違い
2ちゃんねる関連の有料サービス「2ちゃんねるビューア」や「モリタポ」の違いについては次のサイトが分かりやすく解説していました。
3.3 2ちゃんねるビューア情報漏えいによる脅威
2ちゃんねるビューアの情報漏えいを受けて考えられる脅威は次のものがあります。
(1) クレジットカード情報の悪用
クレジットカード決済に必要となる情報が全て漏えいしているため、カード会社による保護措置が取られていない場合、悪用される可能性があります。さらに2012年11月2日以降の10,782件はセキュリティコードも一緒に漏えいしているため、カード会社にすぐに停止・再発行の依頼を行う必要があります。
(2) 個人情報の悪用
漏えいした情報には氏名だけでなく、メールアドレスや住所、電話番号など多くの情報が含まれます。スパムメールやいたずら電話・郵便の他、漏えいした個人情報を使って犯罪行為を行うなど悪質ななりすましが行われる可能性があります。
(3) パスワード漏えいによる不正アクセス
パスワードと思われる文字列は全て平文で漏えいしているため、パスワードの使いまわしをしている場合、第三者により容易に他のサービスでなりすましされる可能性があります。パスワードの使いまわしをしている場合はすぐにパスワード変更をする必要があります。
(4) 2ちゃんねる書込み人物の特定・炎上
いわゆる人肉検索です。2ちゃんねるビューア漏えい情報と2ちゃんねるのアーカイブサービス(ログ速等)を使って、過去書込みを行った人物の特定され炎上する可能性があります。
3.4 2ちゃんねる漏えい情報の拡散
2ちゃんねるの漏えい情報はいくつかの手段を通じて拡散が行われています。
(1) ミラーを使った拡散
漏えい情報をコピーし拡散する行為です。例えば次のようなところで拡散していることを確認しています。
- ウェブ魚拓
- ウェブ魚拓のアーカイブ
- 海外ホスティングサービスへのアップロード
- Onionちゃんねるへの再貼り付け
(2) まとめサイトに掲載
自身のサイトを立ち上げ、そこに漏えいした情報を掲載する行為です。いくつかのWebサイトで確認していますが、2ちゃんねるの一部スレッドでは掲載サイトを監視し、必要に応じてサイトのテイクダウン依頼を行っているようです。
- 事例1
- 事例2
(3) 検索サービスの立ち上げ
漏えいした情報は素人見には分かりづらい情報であるため、これらをIDや書込み日時等を使って検索できるサービスを立ち上げ、情報へアクセスしやすくする行為です。
- 事例1
- 事例2
4.アットフリークスの情報漏えい
アットフリークスが運営する2つのサービス@Pages、@Chsで情報漏えいが発生したとしてお詫び*5 *6を掲載しています。@Chsはハッシュ化したパスワードとなっていましたが、@Pagesはパスワードが平文のまま流出したことについて報告しています。
不正アクセスの原因は@Pagesのお詫びでは現段階における推定としての記載があり、ユーザー情報を格納するデータベースが流出し、サーバーから抜かれた可能性とのこと。データベースへアクセスするID、パスワードの流出経緯は調査中とのことです。
5. Yahoo!Japanの情報漏えい
Yahoo!Japanの採用情報、社員用パスワードが漏えいしたとして発表しました。*7漏えいした情報は1998年頃の情報であり、掲載された掲示板(Pastebin)上からは既に削除されています。既に保管期限を過ぎているデータで全て削除済みであることから、漏えいした経緯(流出元)は不明とのこと。
6. 東京大学の情報漏えい
東京大学が1998年頃に存在していた学内システムのデータが漏えいしたとして発表しました。*8
7. 理化学研究所の情報漏えい
理化学研究所が1998年頃に存在していた特定のサーバーのデータが漏えいしたとして発表しました。*9
- 漏えいしたーデータは1998年頃に管理していたサーバーの職員アカウント名、パスワードハッシュ、サーバーに格納していたと思われる一部のデータ
- 漏えいデータには研究上の機密事項は含まれていない
- 1998年頃に発生した不正アクセス時の漏えいが原因と推測
- 不正アクセスを受けたサーバーは既に廃止済み
- 流出元は不明
8. Inter7の情報漏えい
Inter7が下記のお知らせを掲載し、不正アクセス・情報漏えいが発生したとして発表しました。*10
【重要なお知らせ】2013/9/2 (月)23:27
ソフトウェアのバグを利用され、アカウント情報(パスワードを含む)を奪取された可能性があります。
パスワードのご変更および、重要なメールのダウンロードおよび削除をお願いいたします。
ご迷惑をお掛けし誠に申し訳ありません。
http://www.inter7.jp/
質問掲示板ではユーザー間の情報共有が行われています。
(参考)2ちゃんねる関係漏えいデータ詳細
1.2ちゃんねる/BBS PINK系データ
(1) 一人用キャップデータ(Trip)
2ちゃんねるのトリップを使用するために必要となるデータ
| No | 漏えいデータ:1項目 |
|---|---|
| 1 | トリップ#トリップキー |
(2) 2ちゃんねるBE登録情報の一部(BE)
書込みに認証が必要となる2ちゃんねるのBe掲示板の登録データの一部。なお、関連不明ながらBE書き込みログファイル「be2006.log」「be2009.log」が拡散されているとの情報があるが、8月26日早朝時点でこれら2つのファイルに関する投稿は「さっしーえっち ◆MwKdCUj7XWlQ」により行われていなかったことから別人物の可能性がある。
| No | 漏えいデータ:4項目 |
|---|---|
| 1 | 数字(BE関係の情報?) |
| 2 | 数字(BE関係の情報?) |
| 3 | IPアドレス |
| 4 | 文字列(ID?) |
(3) 2ちゃんねる 書き込みログ(Cap)
中身は全て2ちゃんねるへ書き込みのログファイル。ログ中にトリップキーが含まれる。2013年6月11日〜8月11日頃までのログが公開されているが、ログファイルサイズは100MBに満たないため、当該期間のログ全件が出力されているのではなく、トリップを使った書き込みに限定したものと思われます。
漏えいファイル数:14個
| No | 漏えいデータ:9項目 |
|---|---|
| 1 | 書き込み日時 |
| 2 | 書き込み元IPアドレス |
| 3 | 書き込み元ホスト名 |
| 4 | 固定ハンドル名 |
| 5 | トリップ |
| 6 | トリップキー |
| 7 | 書き込み内容 |
| 8 | User-Agent |
| 9 | 付随情報(READJS、HAP、PON、PREN) |
ファイル名はそれぞれ2ちゃんねる/BBS PINKのサーバーを指しているものと思われる。
| No | ファイル名 | ログ件数 | ファイルサイズ(KB) | 対象期間 |
|---|---|---|---|---|
| 1 | ch2anag.txt | 20,134件 | 33,423KB | 2013/06/15(土) 01:41:15.37〜2013/08/10(土) 01:53:52.18 |
| 2 | ch2awab.txt | 15,225件 | 29,169KB | 2013/06/15(土) 03:58:20.17〜2013/08/10(土) 01:41:06.13 |
| 3 | ch2enga.txt | 109件 | 115KB | 2013/06/15(土) 01:55:43.69〜2013/08/10(土) 02:17:44.36 |
| 4 | ch2haya.txt | 653件 | 624KB | 2013/06/15(土) 01:48:10.78〜2013/08/09(金) 23:52:30.25 |
| 5 | ch2haya2.txt | 46件 | 35KB | 2013/06/22(土) 20:40:50.34〜2013/08/08(木) 17:34:15.98 |
| 6 | ch2haya3.txt | 312件 | 236KB | 2013/06/16(日) 21:13:21.22〜2013/08/09(金) 20:26:53.20 |
| 7 | ch2ikur.txt | 192件 | 160KB | 2013/06/16(日) 03:48:20.05〜2013/08/09(金) 12:57:55.03 |
| 8 | ch2koha.txt | 2204件 | 3,060KB | 2013/06/15(土) 03:14:14.69〜2013/08/10(土) 01:22:45.62 |
| 9 | ch2qb5.txt | 11,051件 | 10,724KB | 2013/06/12(水) 21:22:21.16〜2013/08/11 01:43:45*11 |
| 10 | ch2toro.txt | 307件 | 295KB | 2013/06/15(土) 12:59:10.44〜2013/08/09(金) 23:21:45.29 |
| 11 | ch2uni.txt | 10,371件 | 17,172KB | 2013/06/15(土) 02:08:22.39〜2013/08/10(土) 02:10:17.18 |
| 12 | ch2yuzu.txt | 31件 | 26KB | 2013/07/01(月) 21:15:15.08〜2013/08/09(金) 11:22:52.18 |
| 13 | p9kila.txt | 21件 | 15KB | 2013/06/17(月) 19:51:09.49〜2013/08/10(土) 10:12:56.52 |
| 14 | p9pele.txt | 909件 | 750KB | 2013/06/15(土) 07:09:30.82〜2013/08/11(日) 03:45:58.53 |
(4) ビットキャッシュ関連の掲示板データベースと推定されるファイル(tora3chv.sql.gz)
掲示板のビットキャッシュ関係の情報を保持しているMySQLのデータベースDumpファイル。2つのテーブルデータを内包。パスワードらしき文字列が平文で保存されている。Dumpした日時は「2013-07-24 03:27:22」と出力されている。
| No | 漏えいデータ(1):29項目 ※ この内、値が確認できるのは6項目 |
|---|---|
| 1 | 数字 |
| 2 | メールアドレス |
| 3 | パスワード(平文) |
| 4 | 数字 |
| 5 | 数字 |
| 6 | 数字 |
| No | 漏えいデータ(2) :7項目 |
|---|---|
| 1 | 数値 |
| 2 | メールアドレス |
| 3 | 数字(YYYYMMDD?) |
| 4 | 文字列 |
| 5 | 文字列 |
| 6 | 文字列(バージョン?) |
| 7 | 文字列 |
2.2ちゃんねるビューア 購入者・試行サービス利用者の個人情報データ
(5)2ちゃんねるビューア ID一覧 (●ID)
2ちゃんねるビューアに登録したユーザーのメールアドレスの一覧データ。
| No | 漏えいデータ:2項目 |
|---|---|
| 1 | 文字列(ユニークID?) |
| 2 | メールアドレス |
(6) 2ちゃんねるビューア 試行サービス 利用者一覧(お試し●ID)
2ちゃんねるビューアの試行サービス「お試し●」利用者のメールアドレス等の一覧データ。
| No | 漏えいデータ内容:2項目 |
|---|---|
| 1 | 文字列(ユニークID?) |
| 2 | メールアドレス |
(7) 2ちゃんねるビューア 購入者情報 一覧 (sessions)
2ちゃんねるビューアのサービスを利用する購入者情報の一覧。認証に必要となるパスワードやセキュリティコード・クレジットカード番号などが含まれます。
| No | 漏えいデータ:18項目 |
|---|---|
| 1 | 登録日付 |
| 2 | メールアドレス |
| 3 | パスワード |
| 4 | 国籍名 |
| 5,6 | 氏名(姓名で2項目) |
| 7 | クレジットカード会社 |
| 8 | クレジットカード番号 |
| 9,10 | 有効期限(年・月で2項目) |
| 11 | クレジットカード名義人名 |
| 12,13,14 | 住所(都道府県名・市町村名・番地で3項目) |
| 15 | 電話番号 |
| 16 | セキュリティコード |
| 17 | 申込時のIPアドレス |
| 18 | タイムスタンプ |
(8) 2ちゃんねるビューア 書込みアクセスログ
2ちゃんねるビューアを使って、2013年7月14日〜8月11日の間に書き込みを行った際に出力されたと思われるアクセスログ。上の(5)、(6)のファイルの文字列をファイル名として個別にアクセスログファイルが出力されています。尚、9月1日に追加で投稿が行われています。
| No | 漏えいデータ:4項目 |
|---|---|
| 1 | 書込み日時 |
| 2 | IPアドレス |
| 3 | ホスト情報 |
| 4 | 書込み先掲示板名・スレッド番号 |
更新履歴
- 2013/09/01 AM 新規作成
- 2013/09/01 PM 「さっしーえっち」トリップ付による投稿が行われたため反映
- 2013/09/04 PM 東京大学、理化学研究所、Inter7の情報漏えいについて反映
*1:2ちゃんねる運営からの発表,2ch.net,2013/09/01アクセス:魚拓
*2:お知らせ:●の情報漏洩に関連して,未来検索ブラジル,2013/09/01
*3:不正アクセスによるお客様情報流出に関するお詫びとご報告(再掲載/更新),NT Technology,2013/09/01アクセス:魚拓
*4:不正アクセスによるお客様情報流出につきましてのご報告,NT Tecknology,2013/09/01アクセス:魚拓
*5:@chs【お詫び】ユーザ情報流出に関するお知らせ,アットフリークス,2013/09/01:魚拓
*6:@Pages【お詫び】ユーザ情報流出に関するお知らせ【第2報】,2013/09/01アクセス:魚拓
*7:弊社から流出した可能性のある過去の情報について,Yahoo!Japan,2013/09/01アクセス:魚拓
*8:本学サーバーから流出したと思われる情報について [その他] (本部情報戦略課),東京大学,2013/09/04アクセス:魚拓
*9:研究所から流出した可能性のある過去の情報について,理化学研究所,2013/09/04アクセス:魚拓
*10:【重要なお知らせ】2013/9/2,Inter7,2013/09/04アクセス:魚拓
2013-08-18
パスワードリスト攻撃の2013年4月〜8月の状況についてまとめてみた。
インシデントまとめ | |
パスワードの使いまわしを狙った不正アクセスについて最近見かける機会が増えたこともあり、自分の中で整理したくまとめました。対策については既に多くの記事で述べられているためここではとりあげません。
(8/20更新)
@games(ジークレスト)へのパスワードリスト攻撃を追加しました。
まずは読んでおきたいBlog、記事
このテーマ、また関連するパスワードについて先行研究・調査されている方の記事が既に沢山あるのでまずはこちらをメモ。
- 辻さんによるリスト型攻撃に関する考察
- 徳丸さんのパスワードへの攻撃に関する考察
- 根岸さんのここ最近発生した不正ログイン事件のまとめ
- 他パスワードリスト攻撃に関係する記事、発表
攻撃の呼び方は色々
パスワードの使いまわしをしているユーザーを狙うため、インターネット上で公開されている情報を拾い集めたり、ブラックマーケットで買取することで入手したアカウントリスト(ID、パスワードの一覧)を使い、対象にログインが可能かを試行する攻撃については、呼び方が複数あります。以下は検索した結果から調べた内容ですので間違っていたらご指摘ください。
呼び方(1) パスワードリスト攻撃
「パスワードリスト攻撃」はIPAが2012年7月の届け出状況の報告で使い始めた言葉です。セキュリティの専門家やセキュリティベンダ(例えばSST)もこの言葉が使われているシーンを見かけます。この記事でもIPAにならってパスワードリスト攻撃という名称で記載していますが、IDとパスワードがセットで使われる攻撃にも関らずパスワードのみのリストのような「パスワードリスト」と表現されるのは今一腑に落ちないところでもあります。もしかすると「パスワードを使いまわしている人をリストアップした攻撃」の略なのかも知れません。:)
呼び方(2) 不正ログイン攻撃
「不正ログイン攻撃」は警察庁が2012年3月に公開した資料「(PDF)連続自動入力プログラムによる不正ログイン攻撃の観測結果について」で使用した言葉です。最近は主要メディアでもこの攻撃を「不正ログイン」と記載しているようです。*1この資料はインターネット上でサービスを提供する企業13社に対して攻撃の有無についてヒアリングした結果をまとめたものです。
呼び方(3) リスト型アカウントハッキング
「リスト型アカウントハッキング」(または「リスト型パスワードクラッキング」)は検索するとわかりますが、出所は不明ながらもオンラインゲームサービスを提供する事業者の注意喚起やゲームユーザーのBlogで見かけることが多いです。
オンラインゲーム業界のアカウントはのっとることで当該アカウントが所有する貴重な装備品、ゲーム内通貨を奪取し、RMT市場で取引することで簡単に換金することが可能であり、その換金性の高さから2006年からオンラインゲームに対する不正アクセスの被害が増加し、2010年頃には「リスト型アカウントハッキング」の存在についても語られています。 2010年11月に発生したサミーの「777town.net」への不正アクセス後には、真偽不明ながら同じID、パスワードを使用しているユーザーが被害を報告している事例もあり、オンラインゲームサービスの事業者も注意喚起をしています。
例えば次のような注意喚起や被害報告があります。
| 日付 | パスワードリスト攻撃を受けた企業 | 注意喚起・被害報告 |
| 2010/11/16 | ガンホー | 【重要】アカウントハッキングにご注意ください。(魚拓) |
| 2010/11/16 | USERJOY JAPAN | 【重要】アカウントハッキングについて(魚拓) |
| 2012/08/15 | セガ | SEGA ID管理ページへの対応について(魚拓) |
| 2012/10/04 | スクウェアエニックス | 【重要】 「リスト型アカウントハッキング」への対策について(魚拓) |
| 2012/10/12 | ガンホー | 【重要】一部のお客様のガンホーIDパスワードの強制変更措置について(魚拓) |
| 2012/10/12 | NCSOFT | 【重要】アカウント保護に関するお知らせ(魚拓) |
| 2013/01/12 | バンダイナムコ | ログイン時にエラーが発生された方に対するご注意(魚拓) |
パスワードリスト攻撃の状況まとめ
2013年4月以降の各社の被害状況
2013年4月以降にパスワードリスト攻撃を受けた可能性があるとして被害状況を発表している企業は次の20社(8/20更新で1社追加)です。
| No | 対象 | 不正アクセス期間 | ログイン成功件数 | 不正アクセス回数 | 成功率 | 個人情報閲覧の可能性 | 金銭被害の発生 | 公式発表 |
|---|---|---|---|---|---|---|---|---|
| 1 | Tサイト (カルチュアコンビニエンスクラブ) | 3/26 | 299 | − | − | − | 有り (Tポイントギフト) | *2 |
| 7/15 | 27 | − | − | − | 有り (Yahoo IDと連携しEdyにチャージ) | *3 | ||
| 2 | MyJR-EAST (東日本旅客鉄道) | 3/31 | 97 | 約26,000 | 0.373% | 有り | − | *4 |
| 3 | goo (NTTレゾナント) | 4/1〜4/9 | 108,716 | − | − | 無し | 無し | *5 *6 *7 |
| 4 | eBookJapan (イーブックイニシアティブジャパン) | 4/2〜4/5 | 779 | 2,821 | 27.614% | 有り | 無し | *8 |
| 5 | フレッツ光メンバーズクラブ (東日本電信電話) | 4/4 | 30 | 約20,000 | 0.150% | 有り | 無し | *9 |
| 4/9〜4/10 | 77 | 約24,000 | 0.321% | − | 無し | *10 | ||
| 6 | mopita (エムティーアイ) | 4/18〜4/19 | 5,450 | − | − | 有り | 無し | *11 |
| 7 | dinos (ディノスセシール) | 5/4〜5/8 | 約15,000 | 約1,110,000 | 1.351% | 無し | 無し | *12 *13 |
| 8 | ワタシプラス (資生堂) | 5/6〜5/12 | 682 | 約240,000 | 0.284% | − | 無し | *14 |
| 9 | 三越オンラインショッピング (三越伊勢丹HD) | 5/6〜5/23 | 8,289 | 5,202,002 | 0.159% | 有り | − | *15 |
| 10 | 阪急オンラインショッピング (エイチツーオーリテイリング) | 不明〜5/13 | 2,382 | − | − | 有り | − | *16 |
| 11 | ハピネットオンライン (ハピネット) | 4/24〜5/31 | 最大16,808 | − | − | 有り | − | *17 *18 |
| 12 | じゃらんnet (リクルートライフスタイル) | 2/14〜2/16 6/3〜6/15 | 27,620 | 約1,100,000*19 | 2.511% | 有り | 無し | *20 |
| 13 | ニッセンオンラインショッピングサイト (ニッセン) | 6/18 | 126 | 11,031 | 1.142% | − | 無し | *21 |
| 14 | クラブニンテンドー (任天堂) | 6/9〜7/4 | 23,926 | 15,457,485 | 0.155% | 有り | 無し | *22 |
| 15 | KONAMI ID (コナミデジタルエンタテインメント) | 6/13〜7/7 | 35,252 | 3,945,927 | 0.893% | 有り | 無し | *23 |
| 16 | 楽天市場 (楽天) | 不明〜7/8 | − | − | − | − | 有り | *24 |
| 17 | @nifty (ニフティ) | 7/14〜7/16 | 21,184 | − | − | 有り | 無し | *25 *26 |
| 18 | Gree (グリー) | 7/25〜8/5 | 39,590 | 7,748,633*27 | 0.511% | 有り | 無し | *28 *29 *30 |
| 19 | Ameba (サイバーエージェント) | 4/6〜8/3 | 243,266 | 特定日において通常の何倍ものログインエラー | − | 有り | 無し | *31 *32 *33 |
| 20 | ジークレスト @games | 8/3〜8/13 | 83.961 | − | − | 有り | 無し | *34 *35 |
付随情報
付随情報として各サービスの次の情報を調べてみました。表中ログインに関係する箇所で「−」と記載しているのはpiyokangoがサービスを使ってみて確認出来なかったものであり、機能が実装されているかいなかを保障するものではありません。またいずれもパスワードリスト攻撃を各社が受けた後に調査したものです。調査以前と以後で実装が変わっているケースもあります。例えば三越オンラインショッピングは「名前」項目がログインに必要な項目として事後に追加されたようです。
| No | 対象 | 会員数 | ログインID | パスワード | 認証連携 | 多要素・多段認証 | ログイン連続失敗時ロック | ログイン履歴 |
|---|---|---|---|---|---|---|---|---|
| 1 | Tサイト | − | Tカード番号 またはメールアドレス | 半角英数字 6〜32文字 | Yahoo! Japan ID | − | − | − |
| 2 | MyJR-EAST | 約350万人*36 (2013/04/17時点) | 任意設定 半角英数記号 4〜100文字 | 半角英数混在 6〜12文字 | − | − | 有り | − |
| 3 | goo | 約1800万人*37 (2013/04/04時点) | 任意設定 半角英数小記号(”-”、”_”のみ) 1〜30文字 | 半角英数記号 8〜32文字 | NTT ID | − | 有り | 有り |
| 4 | eBookJapan | 約77万人*38 (2013/03/22時点) | メールアドレス | 半角英数字 4〜20文字 | − | − | 有り | − |
| 5 | フレッツ光メンバーズクラブ | 約404万人*39 (2013/04/11時点) | お客様ID(COP/CAF+半角大文字) または日中連絡先電話番号 または任意指定(詳細確認出来ず) | 半角英数字 8〜10文字 | − | − | 有り | − |
| 6 | mopita | 約800万人*40 (2013/04/18時点) | 任意設定 半角英数字記号(-,_,.) 6〜30文字 | 半角英数記号(-,_,.) 4〜40文字 | docomo ID 楽天 au ID Softbank YAMADA Yahoo! Japan | CAPTCHA | − | 有り |
| 7 | dinos | − | メールアドレス | 半角英数字 6〜16文字 | − | − | − | − |
| 8 | ワタシプラス | 約75万人*41 (2012/12月末時点) | メールアドレス | 半角英大小数字 6〜12文字 英数字それぞれ一字以上必要 | − | − | 有り | − |
| 9 | 三越オンラインショッピング | 約73万人*42 (2013/05/25時点) | 任意設定 半角英数字 6〜16文字 | 半角英数混在 8〜16文字 | − | 名前 | 有り | − |
| 10 | 阪急オンラインショッピング | − | 任意設定 半角英数字 4〜16文字 | 半角英数混在 8〜16文字 | − | − | − | − |
| 11 | ハピネットオンライン | − | メールアドレス | 半角英数字 6〜16文字 | − | − | − | − |
| 12 | じゃらんnet | 約900万人*43 (2011/05頃時点) | メールアドレス | 半角英数字 6〜20文字 | − | − | 有り | − |
| 13 | ニッセンオンラインショッピングサイト | 約1103万人*44 (2012年12月時点) | メールアドレス またはニッセンID(数字10桁) | 半角英数字 5〜8文字 | Twitter Mixi | 姓名 | − | − |
| 14 | クラブニンテンドー | 約400万人*45 (2013/07/05時点) | 任意設定 半角英大小数字 6〜12文字 | 半角英数混在 8〜12文字 | − | − | 有り | − |
| 15 | KONAMI ID ポータル | − | 任意設定 半角英小数字記号(.,-,_) 8〜32文字 | 半角英数混在 8〜32文字 | − | ワンタイムパスワード(有料) | − | − |
| 16 | 楽天市場 | 約8357万人*46 (2013/05/09時点) | メールアドレス または任意設定 半角英数字 6文字〜100文字 | 半角英数字 6〜128文字 | − | − | 有り | 有り |
| 17 | @nifty | − | 任意設定 半角英数記号(-,_,.) 2〜32文字 1文字目は英字 特定の組み合わせ使用不可 | 半角英数記号 6〜24文字 | − | − | 有り | 有り |
| 18 | Gree | 3500万人以上*47 (2013/08/18時点) | 携帯メールアドレス | 半角英数字 6〜20文字 | − | − | 有り | − |
| 19 | Ameba | 約2954万人*48 (2013/6月末時点) | 任意設定 半角英数字記号(-) 3〜24文字 | 半角英数字 6〜12文字 | − | − | − | − |
| 20 | @games | 約400万人*49 (2013/06/21時点) | 任意設定 半角英数字 4〜12文字 | 半角英数混在 8〜16文字 | Mixi | − | 有り | − |
各社を並べてみる
被害件数別
被害件数別に並べると次の通りです。
| 順位 | 対象 | ログイン成功件数 |
|---|---|---|
| 1位 | Ameba | 243,266 |
| 2位 | goo | 108,716 |
| 3位 | @games | 83,961 |
| 4位 | Gree | 39,590 |
| 5位 | KONAMI ID | 35,252 |
| 6位 | じゃらんnet | 27,620 |
| 7位 | クラブニンテンドー | 23,926 |
| 8位 | @nifty | 21,184 |
| 9位 | ハピネットオンライン | 16,808 |
| 10位 | dinos | 約15,000 |
| 11位 | 三越オンラインショッピング | 8,289 |
| 12位 | mopita | 5,450 |
| 13位 | 阪急オンラインショッピング | 2,382 |
| 14位 | eBookJapan | 779 |
| 15位 | ワタシプラス | 682 |
| 16位 | Tサイト | 299 |
| 17位 | ニッセンオンラインショッピングサイト | 126 |
| 18位 | MyJR-EAST | 97 |
| 19位 | フレッツ光メンバーズクラブ(2回目) | 77 |
| 20位 | フレッツ光メンバーズクラブ(1回目) | 30 |
| 21位 | Tサイト | 27 |
| − | 楽天市場 | 非公開 |
会員数が多いところが狙われてしまうとやはり相応の被害規模になる傾向のようです。不正アクセスを受けた日数にもよりますが、ゲーム関連のサービスの被害件数が多いですね。パスワードリスト攻撃に使われているリストに偏りがあるのでしょうか。
被害発覚に要した日数別
パスワードリスト攻撃を受け始めてから被害に気づく(確認する)までにかかった日数別に並べると次の通りとなります。
| 順位 | 対象 | 攻撃を受けてから 被害発覚までの日数 |
|---|---|---|
| 1位 | じゃらんnet(1回目) | 172日 |
| 2位 | Ameba | 124日 |
| 3位 | じゃらんnet(2回目) | 63日 |
| 4位 | ハピネットオンライン | 37日 |
| 5位 | KONAMI ID | 25日 |
| 6位 | クラブニンテンドー | 23日 |
| 7位 | 三越オンラインショッピング | 17日 |
| 8位 | MyJR-EAST | 16日 |
| 9位 | Gree | 12日 |
| 10位 | ワタシプラス @games | 11日 |
| 11位 | dinos | 4日 |
| 12位 | eBookJapan | 3日 |
| 13位 | @nifty | 2日 |
| 14位 | goo mopita Tサイト ニッセンオンラインショッピングサイト | 1日 |
| 15位 | フレッツ光メンバーズクラブ (1回目、2回目) | 当日 |
| − | 楽天市場 阪急オンラインショッピング | 非公開 |
攻撃を受けてから発覚するのが遅れると被害規模が大きくなる傾向のようです。被害発覚までに要した期間に対しgooや@gamesは被害件数が多いですね。
成功率別
パスワードリスト攻撃によるログインの成功率順にすると次の通りとなります。この11社の平均は「0.714%」でした。
| 順位 | 対象 | 成功率 |
|---|---|---|
| 1位 | じゃらんnet | 2.511% |
| 2位 | dinos | 1.351% |
| 3位 | ニッセンオンラインショッピングサイト | 1.142% |
| 4位 | KONAMI ID | 0.893% |
| 5位 | Gree | 0.511% |
| 6位 | MyJR-EAST | 0.373% |
| 7位 | フレッツ光メンバーズクラブ (2回目) | 0.321% |
| 8位 | ワタシプラス | 0.284% |
| 9位 | 三越オンラインショッピング | 0.159% |
| 10位 | クラブニンテンドー | 0.155% |
| 11位 | フレッツ光メンバーズクラブ (1回目) | 0.150% |
上位サービスの多くはログインIDがメールアドレス、パスワードも半角英数字でした。
尚、eBookJapanはこのリストから外しています。同社の不正アクセスの成功率は27%と異常な高さですが、これは同社が実際に不正アクセスを受けた件数を報告にあたりフィルタリングしている可能性が考えられます。不正アクセス件数は2,821件ですが、これは同社が報告している「ログイン成立分」、「ログイン失敗分」から算出した数字であってプレスにもこれが不正アクセスの全件であるといった記載はありませんでした。またサーバーの過負荷から発覚したにも関わらずこの件数は4日間に行われたにしては少ないように思えます。
パスワードリスト攻撃を受けたことに気づいたきっかけ
パスワードリスト攻撃を受けたかどうかに気づくことが出来たきっかけを調べてみました。大きく分けると次の通りです。
| No | 対象 | きっかけ |
|---|---|---|
| 1 | Tサイト | ユーザーから見覚えのない利用履歴があるとの問い合わせを受けて |
| 2 | MyJR-EAST | パスワードリスト攻撃の騒ぎを受けて自社も調べてみたことから |
| 3 | goo | 大量のログインエラーが発生したことから |
| 4 | eBookJapan | アクセス先のサーバーが高負荷となったことから |
| 5 | フレッツ光メンバーズクラブ | 大量のログインエラーが発生したことから |
| 6 | mopita | パスワードリスト攻撃を受けたログを確認したことから |
| 7 | dinos | 大量のログインエラーが発生したことから |
| 8 | ワタシプラス | パスワードリスト攻撃を受けたログを確認したことから |
| 9 | 三越オンラインショッピング | 大量のログインエラーが発生したことから |
| 10 | 阪急オンラインショッピング | 大量のログインエラーが発生したことから |
| 11 | ハピネットオンライン | 大量のログインエラーが発生したことから |
| 12 | じゃらんnet | ユーザーからログインできないとの問い合わせを受けて |
| 13 | ニッセンオンラインショッピングサイト | パスワードリスト攻撃を受けたログを確認したから |
| 14 | クラブニンテンドー | 大量のログインエラーが発生したことから |
| 15 | KONAMI ID | 大量のログインエラーが発生したことから |
| 16 | 楽天市場 | ユーザーから見覚えのない利用履歴があるとの問い合わせを受けて |
| 17 | @nifty | パスワードリスト攻撃を受けたログを確認したから |
| 18 | Gree | 大量のログインエラーが発生したことから |
| 19 | Ameba | 臨時でのログチェックより発覚したから |
| 20 | @games | 大量のログインが発生したことから |
ログインエラー(またはログイン処理)が大量に出ていたから気づいたとしている事業者が多いです。また金銭的な被害が発生しているケースではユーザーからの問い合わせを受けてから発覚しています。異常検知される水準の大量のログイン試行やユーザーが気づく程度の金銭的被害が発生しない場合、Amebaのように臨時でのログチェックでもしない限りパスワードリスト攻撃を受けた事実に気づくのは厳しいですね。
時系列まとめ
各社の発表を元に時系列に整理しました。
未だ一連のパスワードリスト攻撃の関連性についての情報はありませんが、不正アクセス期間は綺麗に並んでいるように見えますね。また。ポータルサイトやゲーム関係、ショッピングサイトへ攻撃の行われた始めたタイミングがそれぞれ近しいようにも見えます。さらにたまたまかもしれませんが、大量のアクセスを試行するパスワードリスト攻撃の後に金銭的被害が発生するパスワードリスト攻撃が発生しているようにも見えます。真相は果たして。
余談
パスワードリスト攻撃の被害報告ですが似ている企業があるようです。私たちの目に見えないところでつながりがあるのでしょうか。
アットゲームズのお知らせの文章はつい最近どこかで見ましたなーw
ちなみに任天堂とコナミの文章もほぼ同じです。仲良しなんですね。
更新履歴
- 2013/08/18 新規作成
- 2013/08/19 一部加筆(Greeの不正アクセス件数の引用、付随情報の調査時期)
- 2013/08/20 被害対象に@games(ジークレスト)を追加。全体加筆修正。
*1:2013年2月4日の読売の記事「リスト型アカウントハッキング1日10万件の攻撃も…使い回しID盗み悪用」では「リスト型アカウントハッキング」という名称が使われています。
*2:(PDF)T サイトへの不正ログインによるなりすまし被害について,カルチュアコンビニエンスクラブ,2013/08/17アクセス
*3:(PDF)T ポイント不正利用についてのお知らせとお願い,カルチュアコンビニエンスクラブ,2013/08/17アクセス
*4:(PDF)My JR-EAST での不正ログイン発生とご利用のパスワード変更のお願い,東日本旅客鉄道,2013/08/17アクセス
*5:gooIDアカウント不正ログイン被害について,NTTレゾナント,2013/08/18アクセス:魚拓
*6:gooIDアカウント不正ログイン被害について(続報),NTTレゾナント,2013/08/18アクセス:魚拓
*7:gooIDへの不正ログイン被害について(終報),NTTレゾナント,2013/08/18アクセス:魚拓
*8:不正アクセスによる「なりすまし」ログインついての調査結果ご報告 (最終報告),イーブックイニシアティブジャパン,2013/08/18アクセス:魚拓
*9:フレッツ光メンバーズクラブ会員サイトへの不正アクセスについて,東日本電信電話,2013/08/18アクセス:魚拓
*10:不正アクセスへの対応等について,東日本電信電話,2013/08/18アクセス:魚拓
*11:弊社サービスへの不正ログイン被害のご報告,エムティーアイ,2013/08/18アクセス:魚拓
*12:(PDF)【重要】セキュリティ強化のためのパスワード変更のお願い,ディノス,2013/08/18アクセス
*13:(PDF)【重要】弊社運営のオンラインショッピングサイトへの不正ログイン被害について ※セキュリティ強化のためのパスワード変更のお願い(第二報),ディノス,2013/08/18アクセス
*14:ワタシプラスにおける不正ログイン被害について,資生堂,2013/08/18アクセス:魚拓
*15:(PDF)三越オンラインショップ・不正アクセスについて,三越伊勢丹HD,2013/08/18アクセス
*16:(PDF)阪急・阪神百貨店オンラインショッピング、不正アクセスについて,エイチツーオーリテイリング,2013/08/18アクセス
*17:オンラインショップへの不正アクセスについて,ハピネット,2013/08/18アクセス:魚拓
*18:オンラインショップへの不正アクセスについて(経過報告),ハピネット,2013/08/18アクセス:魚拓
*19:「じゃらんnet」で不正ログイン 情報流出か,日本経済新聞,2013/08/18アクセス:魚拓
*20:じゃらんnetへの「なりすましログイン」検知のご報告とパスワード変更のお願い,リクルートライフスタイル,2013/08/18アクセス:魚拓
*21:(PDF)【重要】ニッセンオンラインショッピングサイトへの不正ログイン状況、及びお客様へのお願いについて,ニッセン,2013/08/18アクセス
*22:「クラブニンテンドー」サイトへの不正ログイン発生のご報告とパスワード変更のお願い,任天堂,2013/08/18アクセス:魚拓
*23:「KONAMI IDポータルサイト」への不正ログイン発生のご報告とパスワード変更のお願い,コナミデジタルエンタテインメント,2013/08/18アクセス:魚拓
*24:他社サイトから流出したID・パスワードを使った不正ログインの発生およびパスワード変更のお願いについて,楽天,2013/08/18アクセス:魚拓
*25:不正なログインの発生について,ニフティ,2013/08/18アクセス:魚拓
*26:お客様情報一覧の不正なログインの発生について,ニフティ,2013/08/18アクセス:魚拓
*27:不正ログイン:GREEに約775万件のサイバー攻撃 不正閲覧約4万件,毎日新聞,2013/08/19アクセス:魚拓
*28:「GREE」への不正ログインに関するご報告,グリー,2013/08/18アクセス:魚拓
*29:不正ログイン発生のご報告とアカウントの一時停止について(第2報),グリー,2013/08/18アクセス:魚拓
*30:不正ログイン発生のご報告とアカウントの一時停止について(第3報)-不正ログイン発生に関するご利用再開について-,グリー,2013/08/18アクセス:魚拓
*31:【重要】Amebaへの不正ログインに関するご報告 ※追記あり,サイバーエージェント,2013/08/18アクセス:魚拓
*32:【不正ログインについて】アメーバID状況確認のお願い ※追記あり,サイバーエージェント,2013/08/18アクセス:魚拓
*33:【不正ログインについて】追加ご報告,サイバーエージェント,2013/08/18アクセス:魚拓
*34:「アットゲームズ(セルフィタウン)」への不正ログインに関するご報告,ジークレスト,2013/08/20アクセス:魚拓
*35:「アットゲームズ(セルフィタウン)」への不正ログインに関する追加ご報告,ジークレスト,2013/08/20アクセス:魚拓
*36:JR東サイトに不正アクセス,大分合同新聞社,2013/08/17アクセス:魚拓
*37:「gooID」に不正ログイン攻撃、10万アカウントが突破される,InternetWatch,2013/08/17アクセス:魚拓
*38:eBookJapan、電子書籍版マンガ全集とASUSの7型タブレットをセット販売開始,InternetWatch,2013/08/18アクセス:魚拓
*39:フレッツ光会員サイトで再び不正ログイン被害、全404万アカウントを凍結,InternetWatch,2013/08/18アクセス:魚拓
*40:スマホ向け認証・決済サービス「mopita」、5450アカウント不正ログイン被害,InternetWatch,2013/08/18アクセス:魚拓
*41:資生堂/ネット会員75万人超/ウェブ連動で店頭売上10%増,日本ネット経済新聞,2013/08/18アクセス:魚拓
*42:三越サイトで不正アクセス 8300人分の情報流出も,MSN産経,2013/08/18アクセス:魚拓
*43:東日本大震災に係る鳥取県の観光対策について,鳥取県,2013/08/18アクセス:魚拓
*44:(PDF)2012年12月期決算発表会,ニッセンHD,2013/08/18アクセス
*45:任天堂の会員制サイトに不正アクセス 1545万回,日本経済新聞,2013/08/18アクセス:魚拓
*46:2013年度第1四半期決算説明会,楽天,2013/08/18アクセス
*47:グリーポータルより
*48:Ameba最新データ,サイバーエージェント,2013/08/18アクセス
*49:「アットゲームズ」,会員数が400万人突破。記念アイテムをプレゼント,4games.net,2013/08/20アクセス:魚拓
2013-07-25
朝日新聞になりすましたメールとショートカットファイルを使った手口についてまとめてみた。
インシデントまとめ | |
7月22日に朝日新聞が次のようなニュースを報じました。朝日新聞記者をなりすましたメールが国会議員に送られているというものです。ここではなりすましメールの詳細とそのメールに使われた手口についてまとめます。
朝日新聞記者を装うウイルスメール 国会議員2人に届く - 朝日新聞(魚拓)
送付された朝日新聞のなりすましメールについて
送付を受けたのは衆議院の平将明議員と参議院議員*1の二人です。メールを受け取られた平議員は次のツイートも投稿しています。
ウイルスメール。添付資料をダブルクリックした瞬間に感染。国会議員を狙っている可能性あり。ご注意を!!私に来た文面⇒ 『突然のメールをお許しください。私、朝日新聞オピニオン編集グループの記者をしております〇〇〇〇(←実名)と申します。この度日本経済再生問題に関して取材依頼を・・・
2013-07-23 11:36:36 via web
その後平議員が受けられていた取材動画を見ると、送られたメールは次の様な内容でした。このメールにはZIP形式のファイルが添付されており、これを開くとウィルスに感染する可能性もあるというものです。また報道によれば「憲法修正」*2についても取材を申し込む内容を確認しているとのことなので、参議院議員宛に送られたメールは平議員が受け取られた内容の一部分を修正して送ったものではないかと思われます。
件名:取材のお願い
本文:
平将様
突然のメールをお許しください。
私、朝日新聞オピニオン編集グループの記者をしております(ぼかしてあるため記載内容不明)と申します。
どうぞ宜しくお願いいたします。
このたび、日本経済再生問題に関して取材依頼をさせていただきたくご連絡いたしました。
詳しくは添付の取材依頼書をご参照いただき、お返事をいただけましたら幸いです。
お忙しい折に恐縮ですが、何卒宜しくお願いいたします。
それでは、良いお返事をお待ちいたしております。
(ぼかしてあるため記載内容不明)
(ぼかしてあるため記載内容不明)
*********************
朝日新聞オピニオン編集グループ 記者
〒104-8011 東京都中央区築地5−3−2
(ぼかしてあるため記載内容不明)
*********************
文体は丁寧で流暢な日本語のように見えますが、よく見ると名前の箇所が「平将様」となっており、平議員はもしかするとここから不自然さを感じ取られたのかもしれません。
朝日新聞はその後警視庁に通報をし、同様のメールを受け取られた方が以前から複数いたことが明らかになっています。この内、国際政治アナリストの菅原氏が自身のWebサイトを通じて詳細情報を公開しています。*3送付されたメールを見ると今回平議員が明らかにしたメールの内容と酷似していることが分かります。
菅原氏が受信した朝日新聞のなりすましメールの引用(実名部分はマスキング)
件名: 取材のお願い
差出人: kaw ano [mailto:**********@mail.com]
本文:
突然のメールをお許しください。 私、朝日新聞オピニオン編集グループの記者をしております○○○○と申します。 どうぞ宜しくお願いいたします。
この度、日米同盟の将来に関して取材依頼をさせていただきたくご連絡いたしました。 詳しくは添付の取材依頼書をご参照いただき、お返事をいただけましたら幸いです。
お忙しい折に恐縮ですが、何卒 宜しくお願いいたします。 それでは、良いお返事をお待ちいたしております。
○○○○
*********************
朝日新聞オピニオン編集グループ 記者
〒104-8011 東京都中央区築地5−3−2 TEL: 03−5362−5698 FAX: 03−5362−8562
E-mail:**********@mail.com
*********************
Twitter上で「朝日新聞オピニオン編集グループ」で検索してみると他にもつぶやかれている方がいました。
いま、私を含めた所内の数名に「朝日新聞オピニオン編集グループ記者 窪澤晶子」を名乗る人物からウィルスメールが送りつけられてきたらしい。メールの内容は取材の依頼。しかしトピックは日中関係w。ただ、もしこれが社会保障関係での取材依頼偽装なら、思わず開いたかもしれないな。
朝日新聞オピニオン編集グループ 記者杉井昭仁から取材依頼のメールが今届いた。宛先も違っているし送信者の名前、メルアドが一致しない。取材依頼は日米同盟。添付を明けてしまったが大丈夫だろうか。
2013-05-03 16:27:26 via web
ただいま日本の「朝日新聞オピニオン編集グループ 記者」を名乗る「取材依頼」を装うなりすましメール(ウィルス付)の危険性が極めて高いアプローチがあったようで確認を取っている所です。この手口は日本の外交関係者や軍事評論・国際政治関係の専門家向けのサイバー攻撃で増えている手口のようです
2013-07-18 23:47:10 via web
受信したと思われる時期に注目すると4月〜5月に3件(上記2件のつぶやきと菅原氏分)と7月中旬に3件(国会議員2件と上記1件のつぶやき)と偏りが見られ、特定の時期に集中して送っていることが考えられます。また報告されている件数は少ないですが、受信している方を見ると組織や業種もばらけており、攻撃対象を極一部に絞って送っているとは考えづらく、公開・報告されている情報は氷山の一角であり、まだまだ受信されている方はいらっしゃるのではないかと思います。似たようなメールが届いていないかをユーザーへ注意喚起したり、メールのログが手元にある場合はチェックしてみるのも良いでしょう。
ショートカットファイルを使った手口について
今回の手口についてはサイバーディフェンスの福森さんが既に解析しているのでそちらをお読み頂くと良いと思います。
上のBlogで掲載されているショートカットファイルのプロパティを見ると、リンク先には「c:\document\users\filetxt\2013-7-16\取材依頼書.txt」といった文字列が見受けられますが、書かれている文字列はこれだけではなく、左にスクロールしていくと実はコマンドプロンプトを呼ぶショートカットだったという話です。*4また、サイバーディフェンスの名和さんによればこの手口は「時差攻撃」とも呼ばれているようです。*5
ここで気になったのはショートカットファイルのアイコンです。ZIPファイルにはショートカットファイルしか存在しておらず、そのショートカットファイルのリンク先も存在しない架空のものが設定された状態でした。にも関わらず、ショートカットファイルのアイコンはテキストファイルのように見えます。
ショートカットファイルを作成した後にコマンドプロンプトを呼び出すように変更すると、アイコンはコマンドプロンプトのものに自動的に変わりました。
このままではショートカットファイルのアイコンからすぐに怪しいと感づかれてしまいます。
そこでショートカットファイルのプロパティを開きます。
この中に「アイコンの変更」があり、この機能を使うと驚くことにショートカットファイルのアイコンを好きなものに変更することが出来ます。
今回攻撃者はこのような手順を用いてテキストファイルに使われるアイコンに変更したのだろうと考えられます。
またこのショートカットファイルを使った手口はそこまで新しいわけでもなく、2012年にシマンテックも似たような手口が使われたインシデントについて報告しています。
”LNK” はマルウェアへのショートカット | Symantec Connect Community
このショートカットファイルを悪用した流れを整理すると次のようになると思われます。
ショートカットファイルのアイコンは自由に変更が出来るため応用が利き、今後も似たような手口の攻撃が行われることが予想されます。例え見知った相手からであってもショートカットファイルには注意が必要ですね。
ただし、Vista以降のWindowsの場合、管理者権限で明示的に実行させない限り、コマンドプロンプトはユーザーの権限で動作するため、ショートカットファイルを使ってコマンドプロンプトを呼ぶだけではファイルの作成やレジストリの変更などに制限があります。また任意のファイルを実行させるにはUACが表示されるように思えるため、そのあたりどのように対応しているのかは興味があります。:)