無縫地帯

gooとヤフーが元気に攻撃されました(訂正あり)

最近は韓国へのサイバー攻撃が記憶に新しいですが、我が国でもgooとYahoo!という象徴的なサービスが攻撃の対象となったようです。

山本一郎です。今日も元気です。暑いですね、東京は。もはやサマーです。

ところで、gooに続いてヤフーと、国内大手インターネットサービスが相次いでサイバー攻撃を受けました。

gooIDアカウント不正ログイン被害について(NTTレゾナント プレスリリース 2013/4/3)
gooIDアカウント不正ログイン被害について(続報)(NTTレゾナント プレスリリース 2013/4/4)
当社サーバーへの不正なアクセスについて(ヤフー プレスリリース 2013/4/4)

すでに多数のメディアでその経緯等が報道されていますが、gooへの攻撃と、ヤフーへの攻撃は、それぞれの内容が異なっています。

まずgooへの攻撃は、すでに収集済みの個人情報データ等を元に、gooの提供するサービスへの不正ログインが実行されたパターンと分析されています。

「gooID」に不正ログイン攻撃、10万アカウントが突破される(INTERNET Watch 2013/4/4)

攻撃ログを解析したところ、単一ID・単一パスワードの組み合わせでログインを試行し、成功しなければ別の組み合わせを次々と試行していく手法がメインであることも判明してきた。

すなわち、攻撃者がどこからか入手したID・パスワードのセットリストを使っている可能性が高く、その同じ文字列の組み合わせをgooIDでも“使い回し”しているアカウントが突破されたと考えられる。
なんと力技な。まあ、それが攻撃側にとって有効だから試みられるわけですけれども。

同じIDとパスワードの組み合わせを使い回すことがいかに危険であるか、とてもよくわかる事件です。とくに、どこかへ流出してしまった可能性のあるIDやパスワードの組み合わせは簡単に不正ログインを許す原因となるので、絶対に使わないようにしたいものです。

一方、ヤフーへの攻撃は、そういった不正ログインを実施するために必要となるIDとパスワードを盗みとろうとするものでした。

Yahoo!のサーバに不正アクセス、「情報漏えい前に遮断」と発表(ITmedia 2013/4/4)

Yahoo! JAPANのユーザー名、不可逆暗号化されたパスワード、登録メールアドレス、パスワードを忘れた場合の再設定に必要な情報の一部を抽出した、約127万件のデータのファイルが作成されていた。
---つまり、もし、今回のヤフーへの攻撃が成功していれば、この100万件を上回るデータが利用され、gooに行われたのと同じような不正ログイン攻撃がまたどこかで実施されることになった可能性が高いです。---

ヤフーへの攻撃方法の詳細はまだ明らかにされていませんが、今後もユーザーIDとパスワードが収集され、それを使ってのさらなる不正ログイン等の攻撃が繰り返される可能性は避けられないと考えておくべきでしょう。

Yahoo! Japanに不正アクセス、手法など詳細は調査中(@IT 2013/4/4)

不正アクセス元がどこか、またこの不正プログラムが具体的に何を指すのか――例えばサーバプログラム/モジュールが改ざんされたのか、あるいは管理者が利用しているPCにボットやトロイの木馬を仕込まれた結果なのか――など、詳細については、「調査中につきまだ明らかにできない」(同社広報)という。ほかに作成された抽出ファイルがあるかどうかについても調査中。
そういえば、ワンクリック詐欺を狙ったAndroidアプリが爆発的に増えているようですが、同じような形でユーザーIDやパスワードを収集するための偽アプリもおそらく相当な数が出回っているのではないでしょうか。怪しいアプリでIDやパスワードを要求されたときに、間違っても銀行やクレジットカード等で使っているIDやパスワードの使い回しだけはやめておくのがよろしいかと。

ワンクリック詐欺アプリ、Google Playで氾濫状態に

シマンテックやマカフィーによれば、公式マーケット上に数十から数百種類ものワンクリック詐欺アプリが公開されているという。
それにしても、いまだにワンクリック詐欺のような使い古された手法は無くならないですね。スマホが普及すればするほど、この手の手法はさらに活発化しそうでもありますが……。

(訂正)

ヤフーのパスワードの件で、伊藤直也氏からTwitter経由にて以下のようなご指摘をいただきました。大変ありがとうございます。

Yahoo! のは不可逆暗号されたパスワードだからこの goo を攻撃したのと同じ手法には使えないですよ
うっかりしておりました。「不可逆暗号」化されたままでは、パスワードとして使えませんね。つまり、ヤフーはデータ保管についてセキュリティに留意した運用を正しく行っていたという証でもあります。本来ならこれが当たり前なんですが、杜撰な運用で平文のままパスワード保管してデータ漏洩してしまった事件は過去にたくさんあるわけですから。

不可逆暗号については以下の記事などがわかりやすい例かと思います。

パスワードは必ず暗号化して保存しよう(PHPプロ)