twitterのパスワード流出問題は、フィッシング詐欺が「進化」する流れを予感させます。「アックス・グラインディング：ax-grinding」という攻撃形態を定義し、その危険性について考察してみました。

Twitterのパスワード流出問題、根本原因はユーザーの使い回し - ITmedia エンタープライズ via kwout

アメーバブログ livedoor ブログ はてなダイアリー ココログ Seesaa ブログ So-net ブログ エキサイトブログ sa.yona.la Twitter Facebook MySpace Gmail Tumblr Blogger Vox Evernote FriendFeed Flickr

上の記事によると事件のあらましは以下のとおりです。

パスワード流出の原因になったとみられるのは、特定の人物が数年前に開設した複数の共有サイトと、共有サイトの利用に関するフォーラムサイトだった。これらサイトでは利用者にユーザー名とパスワードを入力させており、その後、この人物はこれらサイトを悪意のない別の相手に売り渡した。

だが、これらサイトにはあらゆる部分に脆弱性を突くコードやバックドアが仕掛けてあった。最初の人物は、サイトの利用者が増えたところでこの仕掛けを使い、登録ユーザー全員のユーザー名と電子メールアドレス、パスワードを入手した。

この事件そのものは、従来からある「バックドア」の一種に分類されるものでしょう。しかし、

サイトの利用者が増えたところでこの仕掛けを使い

の部分は新たな攻撃手法の脅威を感じさせます。従来のフィッシングサイトでは本物のサイトがあり、それと誤認してIDとパスワードを入力させるというスタイルが主流でした。本物そっくりのサイトを作ったり、本物のサイトが表示された上に偽サイトを被せたり、という手口は良く知られたものになっています。

今回の事件では、「元」運営者の裏切りによりアカウント情報が盗み出されました。盗まれたアカウントはtwitterのものではなく独自サービスのアカウントでしたが、twitterと独自サービスとで同じIDとパスワードを使い回していた人が被害に遭いました。この点から示唆されることがあります。

悪意のある運営者が、初めからアカウント情報を集めるという目的を持って、価値あるWebサービスを提供するサイトを構築する可能性がある。

ということです。Webサイトの種類はなんでも構いません。ただしサインアップを行い、IDとパスワードを入力しても良いと思うようなコンテンツまたはサービスを提供する必要があります。最新のニュースでも、音楽配信でも、ファイル共有でも良いでしょう。非会員に向けてそこそこ便利なサービスを無償提供し、サインアップをすると無料のままで会員専用機能が更にたくさん使えるようにする、そういった仕組みのサイトを作れば多くのIDとパスワードの組み合わせを得ることができるでしょう。メールアドレスを登録するのが嫌な人は少なくないと思われますが、サイトの完成度が高ければメールアドレスも取得することができるかもしれません。

これら、進化したフィッシング詐欺の手法をアックス・グラインディング（ax-grinding）と名づけてみました。アックス・グラインディングとは「腹に一物ある（＝裏で斧を研いでいる）」という意味のイディオムから取ったものです。

「アックス・グラインディング」とはアカウント情報を収集するためにサイトを構築し、その本来の意図を隠したまま価値あるサービスを提供することでIDとパスワードの組み合わせを集める手口と定義してみましょう。収集されるIDとパスワードの組み合わせは何か別のサービスにそのまま利用できるものではありませんが、比較的高い確率でIDとパスワードの組み合わせを使い回しているユーザがいると思われます。今回のtwitterパスワード流出問題により、そういったユーザが一定数いることの証拠となりました。

この攻撃の強みは、それ自体は何ら怪しいところのない正規のサイトを利用する点です。そのためセキュリティソフトのフィッシング検知機能などは有効ではありません。スピア型攻撃にも利用可能です。ターゲットの嗜好にあったWebサイトを作り、twitterやSNS等を通じてターゲットをWebサイトに誘導してくれば高確率でIDとパスワードをサインアップすると思われます。IDとパスワードを盗みとって他のアカウントを攻略するという用途に限らず、パスワードリマインダ機能を設けることでその人のプライベートな質問（本籍地や恋人の名前）を抜き取ることも考えられます。

『パスワードリマインダーで戸惑う「ひみちゅ」：新倉茂彦の情報セキュリティAtoZ』
 http://blogs.itmedia.co.jp/niikura/2008/06/post-ce2f.html

注意すべき手口を下に示します。

IDとパスワードだけで利用できるサービス

メールを入力するのは迷惑メールの恐れを感じます。ましてや名前や住所などは見知らぬWebサービスに登録する心理的抵抗が非常に大きいでしょう。ところがIDとパスワードを指定するだけであれば気軽に応じてしまいがちです。

あなたのtwitterアカウントの●●度を診断するようなサービス

twitterのアカウントを入力させて適当な診断を返すWebサービスがあります。これによりIDを得ることはできますがパスワードを推測することができません。しかし同じドメイン上に別のWebサービスをいくつか展開し、そちらでIDとパスワードを要求するような仕組みが考えられます。cookieやセッションにより一意に特定できる利用者がいた場合、互いに関係性のあるtwitterアカウント、ID、パスワードの組み合わせを得ることができます。同様に姓名判断、メールアドレス占い、生年月日占いなど様々な形で個人情報を収集することができます。

マッシュアップ

oAuthなどを用いずに、直球でtwitterのIDとパスワードを要求してtwitter付随サービスを提供することでアカウント情報を収集することができます。今よく使われているtwitter付随サービスでtwitterのIDとパスワードを生で要求するところは少なくなっているように思います。しかしゼロではありません。

（補足）gmailのサブアドレス

gmailではプラス（+）の記号を利用してサブアドレスを使うことができます。しかしここから元アドレスを推測することはさほど難しいことではありません。同様に、IDを共通部分＋サービス名のルールでユニークっぽくすることもあまりおすすめできません。例として、例えば私が密かな悪意をもってtweetでクラウドサービスをコントロールできる「cloudtter」というサービスを作ったとします。その運営を通じてbob_cloudtterですとかalice_cloudtterというIDとそれぞれのパスワードを得ることができれば、gmailにはbob_gmail、alice_gmailを、yahooにはbob_yahoo、alice_yahooでログインしてみる価値があるように思います。

これらの背景にはクラウドサービスの普及によりwebサービスを立ち上げるのが簡単になったという事情があるかもしれません。また、多くのアカウント情報を手に入れるためには自然と大規模な運用環境を整えることが必要になります。オンプレミスな環境では一人で運用できるサービスにも限界がありましたが、クラウドコンピューティングにより大規模環境を一人で運用することも現実的な選択肢となりました。加えてクラウドサービスと契約するにあたって自分の正規のクレジットカードを使うわけにはいきませんから、盗難クレジットカードの売買市場が育ってきたということも一因となっているでしょう。

また、自分が実際にIDとパスワードを抜き取るという真っ黒な部分に手を染めるのが嫌でも、相手が何者かをよく考えずにビジネスを装ってIDとパスワードごとサービスを売ってしまうという手口も考えられます。利用者数2500人のアックス・グラインディングサイトの管理者権限が1200ドル、といった取引がされるかもしれません。

ウェブ同窓会サイトの「ゆびとま」の業績が悪化した際、サービスが継続されるかという観点に加えて「事業が譲渡された場合、個人情報は適切に管理されるか」という議論が起こりました。twitterパスワード流出問題では「渡した人」が悪で「渡された人」はバックドアを突かれてしまったわけですが、「渡した人」が善で「渡された人」が悪であることも十分にあり得ます。「ゆびとま」騒動の際に懸念されたことは後者の構図の一例であったと言えるでしょう。

アックス・グラインディングの前例は多くはありません。私が知る唯一のものとして携帯電話のメールで発生した事例があります。以前に送り先のメールアドレスのドメイン名を変えると関西弁になるというサービスがありました。先行サービスが人気を博したことで追随サービスが生まれたのですが、そのいくつかはメールアドレスの収集装置として機能し、実際にサービスが提供されたものの後から迷惑メールが大量に届いたというものです。すぐに迷惑メールが届き始めれば噂が広まってしまいますので、ある程度ユーザ数を獲得するまで斧を研ぐ（＝アックス・グラインディング）時間を設けるところが特徴的であると言えます。ちなみに会員登録を要するエロサイトでの詐欺は3秒で詐欺とわかるようなものが多いと聞きますのでアックス・グラインディングの定義に当てはまらないように思います。

Webサービスの提供者の真の目的を知ることは非常に難しいことです。しかしながら大企業のサービスばかりを使っていてもおもしろくありません。自衛行為としては

• メールアドレスを登録しない
• 同じIDを複数のサービスで使いまわさない
• 謎の●●度診断はほどほどにする 
• できるだけ最終ログイン時刻とログイン失敗記録を確認可能なサービスを用いる（IDとパスワードを試行された際に自分で気づくことができる）

ということが挙げられます。皆さんご注意ください。

個人情報を含む媒体を生成するコストは低いものです。それに対して適切に廃棄を行うためには多くの労力を要します。処分そのものに要するコストに加え、手続きが生じることで手間が大きなものになっています。

ということを今日、シュレッダーをかけながら考えていました。そして「個人情報を含む媒体の廃棄コストが大きい」ということを悪用するとどうなるか？ということを想像してみました。

まずは印刷です。A4用紙が5000枚で2500円ほどで販売されています。モノクロレーザープリンターの印刷コストは3円程度と言われます。送り付けられた企業が頭を抱えるような状態としてダンボール10箱を想定すると、50000枚＝25000円＋150000=175000円必要となります。送料など合わせて20万円ほどになるでしょうか。これに個人情報と思しきデータをびっしり印刷します。本物の個人情報が何件か含まれているだけで怖くて捨てられませんので、ダミーデータが含まれていても相手が困ることには違いないと思います。

届け方ですが、郵便局のゆうパックか宅急便になるかと思います。郵便局についてはサイト上で受け取り拒否が可能である旨の記載を発見しました。

以下の条件をすべて満たしている場合のみ、受取拒否することができます。

• 多人数が集合する場所の受付に配達されたものである
• 受領後遅滞なく受取拒否のお申出がある
• 郵便物等の封かんに異常がない
• 配達証明、特別送達、代金引換をご利用していない

受領印を押してゆうパックを受け取ったが、やはり受取拒否をしたい - 日本郵便

ですので大パニックにならずとも郵便局に返却してしまうことが可能です。もし社内で対応を迷っているうちに「遅滞なく」受け取り拒否の申し出ができなくなってしまったとしたら、社内で処分するしかありません。シュレッダーをかけるか、溶解に出すということになるでしょう。

シュレッダーは大型シュレッダーを持っていない限り極めて大変になると思われます。付箋紙、ホチキス、セロテープを使って書類がまとまっていた場合、シュレッダーに要する体力は相当大きなものになります。その場合外部にお金を払って溶解処理に出すことが検討されるでしょう。溶解処理に出すまでは個人情報の取得として処理するのかどうなのか、ということが社内で議論されることになります。個人情報の恐れがあるのであれば、いくら自分で作ったものではないとしても鍵の掛からないロッカーに保管しておくことも難しいでしょう。

これだけでも相当に大変ですが、媒体となればもっと大変です。ハードディスクだったらどうでしょうか。HDDが送られてきても怖くて捨てることができません。受け取り拒否に心理的抵抗が生じるよう、ハードディスクにターゲットとなる会社の名前をマジックで書いておくと対応に苦慮するでしょう。秋葉原でハードディスクを50個ほど集め、一部は動作するポータブルHDDにしてこちらに個人情報を書きこみます。そして残りのHDDはジャンク品であったり、SCSI接続であったりというHDDを使用します。すると、中身を確認できないHDDまで怖くて捨てることができなくなります。捨てる前に正規のデータ削除手段をとれば破壊せずに粗大ごみにしても問題ないでしょうが、端子が合わないですとか、電源の入らないようなHDDは物理破壊するしかありません。そのまま捨てて、もし再生可能であった場合、そして個人情報が入っていた場合、そして捨てたのが誰かを追跡されてしまった場合、その影響の大きさを考えればいくらかの出費をしてでも業者に破壊してもらうという選択肢になることでしょう。磁気テープやフロッピーも同様にして対応に苦慮されることと思います。

やめる社員が出掛けの駄賃にデータを持ち出すといった話を聞くことがあります。それらは権限の適性な処理で防ぎやすいものですが、データを持ち込まれることはなかなか防ぐことが難しいと言われます。それを悪用して「会社のロッカーに大量の謎のHDDを残す」などされた日には非常に大きなコストが生じてしまうことでしょう。こういった事例が起きないことを祈ります。