オルタナティブ・ブログ > 一般システムエンジニアの刻苦勉励 >

身の周りのおもしろおかしい事を探す日々。ITを中心に。

フィッシング詐欺が進化の予感~Twitterパスワード流出問題~

»

twitterのパスワード流出問題は、フィッシング詐欺が「進化」する流れを予感させます。「アックス・グラインディング:ax-grinding」という攻撃形態を定義し、その危険性について考察してみました。

http://plusd.itmedia.co.jp/enterprise/articles/1002/04/news022.html

Twitterのパスワード流出問題、根本原因はユーザーの使い回し - ITmedia エンタープライズ via kwout

はてなブックマーク livedoor クリップ Yahoo! ブックマーク

 

上の記事によると事件のあらましは以下のとおりです。

パスワード流出の原因になったとみられるのは、特定の人物が数年前に開設した複数の共有サイトと、共有サイトの利用に関するフォーラムサイトだった。これらサイトでは利用者にユーザー名とパスワードを入力させており、その後、この人物はこれらサイトを悪意のない別の相手に売り渡した。

だが、これらサイトにはあらゆる部分に脆弱性を突くコードやバックドアが仕掛けてあった。最初の人物は、サイトの利用者が増えたところでこの仕掛けを使い、登録ユーザー全員のユーザー名と電子メールアドレス、パスワードを入手した。

この事件そのものは、従来からある「バックドア」の一種に分類されるものでしょう。しかし、

サイトの利用者が増えたところでこの仕掛けを使い

の部分は新たな攻撃手法の脅威を感じさせます。従来のフィッシングサイトでは本物のサイトがあり、それと誤認してIDとパスワードを入力させるというスタイルが主流でした。本物そっくりのサイトを作ったり、本物のサイトが表示された上に偽サイトを被せたり、という手口は良く知られたものになっています。

今回の事件では、「元」運営者の裏切りによりアカウント情報が盗み出されました。盗まれたアカウントはtwitterのものではなく独自サービスのアカウントでしたが、twitterと独自サービスとで同じIDとパスワードを使い回していた人が被害に遭いました。この点から示唆されることがあります。

悪意のある運営者が、初めからアカウント情報を集めるという目的を持って、価値あるWebサービスを提供するサイトを構築する可能性がある。

ということです。Webサイトの種類はなんでも構いません。ただしサインアップを行い、IDとパスワードを入力しても良いと思うようなコンテンツまたはサービスを提供する必要があります。最新のニュースでも、音楽配信でも、ファイル共有でも良いでしょう。非会員に向けてそこそこ便利なサービスを無償提供し、サインアップをすると無料のままで会員専用機能が更にたくさん使えるようにする、そういった仕組みのサイトを作れば多くのIDとパスワードの組み合わせを得ることができるでしょう。メールアドレスを登録するのが嫌な人は少なくないと思われますが、サイトの完成度が高ければメールアドレスも取得することができるかもしれません。

これら、進化したフィッシング詐欺の手法をアックス・グラインディング(ax-grinding)と名づけてみました。アックス・グラインディングとは「腹に一物ある(=裏で斧を研いでいる)」という意味のイディオムから取ったものです。

「アックス・グラインディング」とはアカウント情報を収集するためにサイトを構築し、その本来の意図を隠したまま価値あるサービスを提供することでIDとパスワードの組み合わせを集める手口と定義してみましょう。収集されるIDとパスワードの組み合わせは何か別のサービスにそのまま利用できるものではありませんが、比較的高い確率でIDとパスワードの組み合わせを使い回しているユーザがいると思われます。今回のtwitterパスワード流出問題により、そういったユーザが一定数いることの証拠となりました。

この攻撃の強みは、それ自体は何ら怪しいところのない正規のサイトを利用する点です。そのためセキュリティソフトのフィッシング検知機能などは有効ではありません。スピア型攻撃にも利用可能です。ターゲットの嗜好にあったWebサイトを作り、twitterやSNS等を通じてターゲットをWebサイトに誘導してくれば高確率でIDとパスワードをサインアップすると思われます。IDとパスワードを盗みとって他のアカウントを攻略するという用途に限らず、パスワードリマインダ機能を設けることでその人のプライベートな質問(本籍地や恋人の名前)を抜き取ることも考えられます。

『パスワードリマインダーで戸惑う「ひみちゅ」:新倉茂彦の情報セキュリティAtoZ』
 http://blogs.itmedia.co.jp/niikura/2008/06/post-ce2f.html

注意すべき手口を下に示します。

IDとパスワードだけで利用できるサービス

メールを入力するのは迷惑メールの恐れを感じます。ましてや名前や住所などは見知らぬWebサービスに登録する心理的抵抗が非常に大きいでしょう。ところがIDとパスワードを指定するだけであれば気軽に応じてしまいがちです。

あなたのtwitterアカウントの●●度を診断するようなサービス

twitterのアカウントを入力させて適当な診断を返すWebサービスがあります。これによりIDを得ることはできますがパスワードを推測することができません。しかし同じドメイン上に別のWebサービスをいくつか展開し、そちらでIDとパスワードを要求するような仕組みが考えられます。cookieやセッションにより一意に特定できる利用者がいた場合、互いに関係性のあるtwitterアカウント、ID、パスワードの組み合わせを得ることができます。同様に姓名判断、メールアドレス占い、生年月日占いなど様々な形で個人情報を収集することができます。

マッシュアップ

oAuthなどを用いずに、直球でtwitterのIDとパスワードを要求してtwitter付随サービスを提供することでアカウント情報を収集することができます。今よく使われているtwitter付随サービスでtwitterのIDとパスワードを生で要求するところは少なくなっているように思います。しかしゼロではありません。

(補足)gmailのサブアドレス

gmailではプラス(+)の記号を利用してサブアドレスを使うことができます。しかしここから元アドレスを推測することはさほど難しいことではありません。同様に、IDを共通部分+サービス名のルールでユニークっぽくすることもあまりおすすめできません。例として、例えば私が密かな悪意をもってtweetでクラウドサービスをコントロールできる「cloudtter」というサービスを作ったとします。その運営を通じてbob_cloudtterですとかalice_cloudtterというIDとそれぞれのパスワードを得ることができれば、gmailにはbob_gmail、alice_gmailを、yahooにはbob_yahoo、alice_yahooでログインしてみる価値があるように思います。

これらの背景にはクラウドサービスの普及によりwebサービスを立ち上げるのが簡単になったという事情があるかもしれません。また、多くのアカウント情報を手に入れるためには自然と大規模な運用環境を整えることが必要になります。オンプレミスな環境では一人で運用できるサービスにも限界がありましたが、クラウドコンピューティングにより大規模環境を一人で運用することも現実的な選択肢となりました。加えてクラウドサービスと契約するにあたって自分の正規のクレジットカードを使うわけにはいきませんから、盗難クレジットカードの売買市場が育ってきたということも一因となっているでしょう。

また、自分が実際にIDとパスワードを抜き取るという真っ黒な部分に手を染めるのが嫌でも、相手が何者かをよく考えずにビジネスを装ってIDとパスワードごとサービスを売ってしまうという手口も考えられます。利用者数2500人のアックス・グラインディングサイトの管理者権限が1200ドル、といった取引がされるかもしれません。

ウェブ同窓会サイトの「ゆびとま」の業績が悪化した際、サービスが継続されるかという観点に加えて「事業が譲渡された場合、個人情報は適切に管理されるか」という議論が起こりました。twitterパスワード流出問題では「渡した人」が悪で「渡された人」はバックドアを突かれてしまったわけですが、「渡した人」が善で「渡された人」が悪であることも十分にあり得ます。「ゆびとま」騒動の際に懸念されたことは後者の構図の一例であったと言えるでしょう。

アックス・グラインディングの前例は多くはありません。私が知る唯一のものとして携帯電話のメールで発生した事例があります。以前に送り先のメールアドレスのドメイン名を変えると関西弁になるというサービスがありました。先行サービスが人気を博したことで追随サービスが生まれたのですが、そのいくつかはメールアドレスの収集装置として機能し、実際にサービスが提供されたものの後から迷惑メールが大量に届いたというものです。すぐに迷惑メールが届き始めれば噂が広まってしまいますので、ある程度ユーザ数を獲得するまで斧を研ぐ(=アックス・グラインディング)時間を設けるところが特徴的であると言えます。ちなみに会員登録を要するエロサイトでの詐欺は3秒で詐欺とわかるようなものが多いと聞きますのでアックス・グラインディングの定義に当てはまらないように思います。

Webサービスの提供者の真の目的を知ることは非常に難しいことです。しかしながら大企業のサービスばかりを使っていてもおもしろくありません。自衛行為としては

  • メールアドレスを登録しない
  • 同じIDを複数のサービスで使いまわさない
  • 謎の●●度診断はほどほどにする 
  • できるだけ最終ログイン時刻とログイン失敗記録を確認可能なサービスを用いる(IDとパスワードを試行された際に自分で気づくことができる)

ということが挙げられます。皆さんご注意ください。

Comment(0)