オルタナティブ・ブログ > 一般システムエンジニアの刻苦勉励 >

身の周りのおもしろおかしい事を探す日々。ITを中心に。

Amazon EC2のGPUを使ってパスワードクラックの試み

»

Amazon EC2のクラスターGPUインスタンスというサービスがあります。ドイツ人のセキュリティ専門家の方がそのサービスを用いてWiFiのパスワードを解析しようと試みた結果が現在アメリカで開催期間中のブラックハットで公表されるとのことです。(おそらく今から数時間後には。)日本ではあまり話題になっておらず日本語の記事も数本しか見つけることができませんでした。が、今後のクラウドサービスの不正利用とその対策が論じられるきっかけとして興味深い1件であると考えております。

経緯を追いますと、まずAmazon EC2にGPU系サービスが追加されたのは2010年11月15日でした。

【AWS発表】Amazon EC2に新インスタンスタイプ登場 - クラスターGPUインスタンス - Amazon Web Services ブログ http://aws.typepad.com/aws_japan/2010/11/new-instance-cluster-gpu.html

Thomas Rothさんは同日15日のブログでSHA1ハッシュの値から元のワードを総当りで割り出す検証コードを書きテストをしたことをレポートしています。

Amazon EC2 の新メニュー「クラスタ GPU インスタンス」でパスワードクラック - スラッシュドット・ジャパン http://slashdot.jp/security/article.pl?sid=10/11/19/0235213

Cracking Passwords In The Cloud: Amazon’s New EC2 GPU Instances « stacksmashing.net (Thomas Rothさんのブログ) http://stacksmashing.net/2010/11/15/cracking-in-the-cloud-amazons-new-ec2-gpu-instances/

その後5日後の2010年11月20日には

Especially cracking hashes is perfectly suitable for massive parallelization!

すなわち「ハッシュ破りほど大規模並列コンピューティングに適したものはない」というびっくりマーク付きのコメントとともに、クラッカーは盗んだカード情報でクラスターGPUインスタンスが使えるから8文字の長いワードをハッシュ化したものもハッシュ破りができるのでは?ということが懸念されています。

Cracking Passwords In The Cloud: Getting The Facts Straight « stacksmashing.net http://stacksmashing.net/2010/11/20/cracking-passwords-in-the-cloud-getting-the-facts-straight/

2011年1月12日のブログでは、1月18日19日と開催されるブラックハットでの講演内容がネタバレ的に部分公開されました。このブログのエントリに基づき、海外ではreuter、CNBC、ZDNet UK、eWEEK Europe UK、などなど複数のメディアにてクラウドコンピューティングを不正利用することについての懸念が表明されています。

私もこの件に関しては心配に思っています。

Amazonは先日Wikileaksのサーバのホスティングを停止しました。しかしそれは誰からも確認することができるWebサイトの運営だったからです。

Wikileaks、Amazonのサーバから追い出される - ITmedia News http://www.itmedia.co.jp/news/articles/1012/02/news034.html

このようなケースと異なり、クラウドサービスの提供者はコンピューティングリソースが何らかの不正な計算に向けられていたとしてもそれが何のために行われているのかを調べることができません。これはなにもクラウドだから新しいことではなく、ホスティングの場合も同じです。

しかしホスティングは機器の搬入などを通じて「顔の見える」サービスであるのに対し、クラウドサービスはThomas Rothさんの言うとおり「盗んだクレジットカード」でも利用できるサービスです。どのような計算が行われているかを運営者側が調べることが難しい以上、身元の明らかな人に使ってもらうことがもっともリスク低減に効果的であると考えられますが、その身元照明としてクレジットカードはやや不安定な感が否めません。

もし今後クラウドサービスの不正利用により重大な事件が発生した場合は、再発の防止のためにクレジットカード以外の身分証明書の提示を求める等の管理策が普及する可能性があります。しかしクラウドサービスにおいては通信回線さえあればどこの国の資源を使っても大差ありません。結果として管理水準が緩い国にサービス事業者が集中するという現象が発生するかもしれません。また、様々な国で様々な公的証明が発行されていますので、実務上身分証明の確認ができないという問題も考えられます。

クラウドサービスではありませんが、オンライン決済サービスのpaypalではうまい取り組みがされており、クレジットカードの明細書を用いて本人確認のレベルを上げています。paypalのサイトからアカウントの認証依頼をすると、paypal3439というような4桁の暗証番号付きの店舗名で200円の請求がされます。利用者は後日クレジットカード会社から送られてきた明細を見て「3439」という暗証番号をpaypalのサイト上に入力します。クレジットカード情報は盗まれても利用明細が他人に渡る可能性は低いですので、これにより本人であるとの認定がされる仕組みです。同時に、200円は返金されます。

認証レベルが低い利用者はコンピューティングリソースに利用上限を定め、ある一定以上のリソースを使う人は何らかの認証を行わなければならないという仕組みが求められる日が来るかもしれません。

Comment(0)