個人情報ロンダリングツール=パスワードリスト攻撃シミュレータの罠 工藤伸治の事件簿番外編
価格: ¥0
カテゴリ: Kindle版
ブランド: 技術評論社
(概要)
架空のサイバーセキュリティコンサルタントを主人公とした,インターネットセキュリティ啓蒙小説。昨今はやりのパスワードアタックを題材に,主人公工藤伸治が活躍する。
(こんな方におすすめ)
ネットワークセキュリティ関係者
インターネットユーザ全般
(プロローグ)
サイバーセキュリティコンサルタント工藤伸治が帰ってきた!
今回挑むのは、『リスト型アカウントハッキング』
目次
■招かれざる客
■『個人情報ロンダリング』として利用されるパスワードリスト攻撃
■ブラックマーケットで売れない個人情報 消える動機
■パスワードリスト攻撃以外の可能性を否定する証拠
■トラップ
「……あのさ。悪いんだけど、パスワードリスト攻撃の定義をおさらいしてみてくれないかな?」
「他のサイトで入手したIDとパスワードの組み合わせを利用して、ログインを試みる攻撃です。不正ログイン攻撃あるいはリスト型アカウントハッキングと呼ばれることもあります。同じIDとパスワードを複数のサイトで使い回している利用者が多いことに目をつけたものですね。被害が発生しても、サイト側に問題があって攻撃が成功したわけではないのがいやなところです。パスワードの使い回しをしていた利用者にも責任はあります。二〇一三年の二月頃から増加し、深刻な問題になっています……ってことでいいですか?」
正解だ。そのサイトに侵入してIDやパスワードを盗むわけではないから、どんな堅牢なサイトでも攻撃できる。東日本旅客鉄道(MyJR-EAST)、NTTレゾナント(goo)、ニフティ(@nifty)、グリー(Gree)、サイバーエージェント(Ameba)、リクルートライフスタイル(じゃらんnet)、三越伊勢丹HD(三越オンラインショッピング)、イーブックイニシアティブジャパン(eBookJapan)など大手が次々と攻撃され、多い時には数十万件のIDとパスワードでのログインに成功されていた。どこかのサイトで盗まれたIDとパスワードを使われるのだから、自分のサイトの守りをいくら固めても限界がある。利用者自身にIDとパスワードの使い回しをやめてもらうのがもっとも有効だが、それはサイト側の努力でできることではない。防御策、再発防止策いずれも決め手がない。
桑野は、むすっとしている。無理もない。レポートもほぼできて、終わったと思っていた仕事が白紙に戻ろうとしているのだ。
「今回、パスワードリスト攻撃だと判断した理由はなんだ?」
だが、専務に頼まれた以上、きっちり仕事しなければならない。
「サイト側に侵入された形跡がないこと、ログイン試行回数と成功件数の確率が過去のパスワードリスト攻撃に近いこと、複数の特定のIPから複数のアカウントへのログイン試行がなされていることなどが根拠です。決定的なのは、当社の他のクライアントが受けたパスワードリスト攻撃で使われたパスワードと一致しているものが多数見つかったことです」
「桑野……さんの言ってることは間違ってはいない。オレもそう思う」
昔のくせで、つい「桑野」と呼び捨てにしそうになる。
「……よかった。じゃあ……」
桑野がほっとした声を上げ、周囲のメンバーからため息がもれた。
「これがなければ、それでよかっただろう」
そう言うとオレは、バッグからiPadを取り出し、桑野たちに画面を見せた。
「パスワードリスト攻撃シミュレータ? なんですか、これは?」
「書いてある通りのもの。パスワードリスト攻撃をシミュレートするソフト。このソフトに『正規のIDとパスワード』をインポートすると、ログインできない不正なIDとパスワードを一定数自動生成する。その後、『正規のIDとパスワード』と自動生成した不正なIDとパスワードで、専用プロキシを経由して指定したサーバにログインを試行する。その試行結果は、桑野さんが言った既存のパスワードリスト攻撃のログイン試行回数と成功件数の確率と同じになる。そうなるように不正なIDとパスワードを混ぜてるんだ。過去に漏洩してもう使えなくなっているパスワードや自動生成したもので水増ししてる。見かけ上、同一IPから一斉にアクセスがあったように見える。複数のIPアドレスに分散して見せる機能やTorを利用する機能もある」
「……なるほど、確かにパスワードリスト攻撃のシミュレーションになりますね。防御側の態勢を確認するためのツールですか?」
桑野は、普通に感心している。ダメだ、鈍すぎる。
「このソフトの取扱説明書には、そう書いてある。桑野さん、言いたくないけど、ここで気がつかないとサイバーセキュリティ担当者として問題あると思うよ」
「どういう意味です?」
「内部関係者の人間がIDとパスワードを盗み出して、そのまま転売すれば疑われやすいが、このソフトでパスワードリスト攻撃を仕掛けた後ならそっちからの漏洩だと思ってくれる。このソフトは、『個人情報ロンダリングツール』なんだ」
「あ? ああっ!? いや、待ってください。IDとパスワードを盗んだなら、攻撃する必要ないでしょ。あれ?」
さすがに桑野もわかったようで、不安な表情をありありと浮かべた。他のメンバーもざわめき出す。
「まだ、わかってないようだな。内部関係者が密かに社内から利用者の個人情報を盗んで、そのまま転売すると、外部からの侵入の形跡がないから内部犯行が疑われるだろ。でも、外部からパスワードリスト攻撃をして、成功させておけば、そっちからの漏洩と思ってくれる。だから、わざと発見しやすいパスワードリスト攻撃をしてるんだろう。なにしろパスワードリスト攻撃は被害サイトには罪がないという、ありがたい漏洩事件のストーリーを作ってくれるロンダリングツールなんだ。再発防止でもたいしたことはできない。言葉を換えると、ほとんどなにもしなくていい。被害サイトにとっては、内部犯行よりパスワードリスト攻撃の方が受け入れやすい結論だ。あのさ、この数ヶ月で、これだけの数のパスワードリスト攻撃が集中して発生してるって、おかしいと思わないか? 『個人情報ロンダリング』が結構含まれてるような気がするんだ」
「あれ? 待ってください。それだと、他のパスワードリスト攻撃で使われたパスワードが今回も使われている説明がつきません。一番大事なとこです」
桑野にしてはいいところに気づいた、とオレは思った。確かに過去の事件で同じパスワードが使われていたら、パスワードリスト攻撃と判断する強力な証拠になる……と思う早とちりは多い。
「お前なあ、大事なことを忘れてるだろ。犯人は事件が起きればうちが調査することを知ってる。だからうちの他のクライアントに対してもパスワードリスト攻撃シミュレータで攻撃しておくんだ。ばれないように試行回数を最小限にして、よく使われるパスワードやデフォルトパスワードを適当にまぜておけば成功確率は維持できる。その事件をうちが調査すれば『過去の事件で使用されたパスワード』のできあがり。お前の言う『決定的な証拠』だ。これがパスワードリスト攻撃が増えているもうひとつの理由かもしれない。なにしろ他のサイトを攻撃して痕跡を残せば、それがパスワードリスト攻撃の証拠なるんだからな」
「カモフラージュのために、複数のサイトを攻撃するんですか? 確かにつじつまは会ってます……し、しかし、それには証拠がないでしょう」
だが、すぐに身体を乗り出して反論してきた。
「そうだよ。でも、同じようにパスワードリスト攻撃で漏洩したっていう証拠もない。このツールが存在する以上は、全てのパスワードリスト攻撃は内部関係者が『個人情報ロンダリング』を行った可能性も合わせて考えなきゃいけないってことだ。内部調査を進める必要があるのは明らかだろ?」
「なるほど……はい」
「だいたい、今回の調査を依頼してきたサイバーフジシンは、二年前に元社員がエクセルで管理してた著名人ブログのIDとパスワードを使って改竄事件を起こしたとこだ。ブラック企業としても名が知られている。社内のモラルが低いんだ。内部犯行を生み出す企業風土がありそうだろ」
「工藤さん、それは言い過ぎです。仮にもクライアントですよ」
これもまた悩ましい問題だ。全てのクライアントが善良で真面目なわけじゃない。むしろ逆だ。ちゃんとすべきことをしてないから問題が起きる。問題が起きてからアクションを起こすのは最低だ。事前の予知、予防を行わない段階で企業組織として、まっとうに機能していない。だが、そういう連中がいるからオレたちの仕事は成り立っている。
「事実だから仕方がない。このツールはそこそこ売れている。ということは、こいつを利用して内部犯行を隠した連中が結構いるってことだ。サイバーフジシンにそういうヤツがいなかったという合理的な根拠はないだろ?」
オレの言葉に桑野はうなずいた。他の連中は、あっけにとられている。おそらくこの話を理解できているのは、ここにいる半分くらい。おさむい限りだ。
オレの名前は、工藤伸治。しがないフリーのサイバーセキュリティコンサルタントだ。長いこと仕事をさぼって貯金で食いつないでぶらぶらしていた。ちゃんと仕事をしなけりゃと思った時、飛び込んできたのが古巣のサイベリア企画からの依頼だった。オレが大学を卒業して最初に勤めた会社。今のところ、最後に勤めた会社でもある。かわいがってもらっていた山内専務が直々に頼んできたとあっては断れなかった。社会復帰するいいタイミングだと思って引き受けた。
架空のサイバーセキュリティコンサルタントを主人公とした,インターネットセキュリティ啓蒙小説。昨今はやりのパスワードアタックを題材に,主人公工藤伸治が活躍する。
(こんな方におすすめ)
ネットワークセキュリティ関係者
インターネットユーザ全般
(プロローグ)
サイバーセキュリティコンサルタント工藤伸治が帰ってきた!
今回挑むのは、『リスト型アカウントハッキング』
目次
■招かれざる客
■『個人情報ロンダリング』として利用されるパスワードリスト攻撃
■ブラックマーケットで売れない個人情報 消える動機
■パスワードリスト攻撃以外の可能性を否定する証拠
■トラップ
「……あのさ。悪いんだけど、パスワードリスト攻撃の定義をおさらいしてみてくれないかな?」
「他のサイトで入手したIDとパスワードの組み合わせを利用して、ログインを試みる攻撃です。不正ログイン攻撃あるいはリスト型アカウントハッキングと呼ばれることもあります。同じIDとパスワードを複数のサイトで使い回している利用者が多いことに目をつけたものですね。被害が発生しても、サイト側に問題があって攻撃が成功したわけではないのがいやなところです。パスワードの使い回しをしていた利用者にも責任はあります。二〇一三年の二月頃から増加し、深刻な問題になっています……ってことでいいですか?」
正解だ。そのサイトに侵入してIDやパスワードを盗むわけではないから、どんな堅牢なサイトでも攻撃できる。東日本旅客鉄道(MyJR-EAST)、NTTレゾナント(goo)、ニフティ(@nifty)、グリー(Gree)、サイバーエージェント(Ameba)、リクルートライフスタイル(じゃらんnet)、三越伊勢丹HD(三越オンラインショッピング)、イーブックイニシアティブジャパン(eBookJapan)など大手が次々と攻撃され、多い時には数十万件のIDとパスワードでのログインに成功されていた。どこかのサイトで盗まれたIDとパスワードを使われるのだから、自分のサイトの守りをいくら固めても限界がある。利用者自身にIDとパスワードの使い回しをやめてもらうのがもっとも有効だが、それはサイト側の努力でできることではない。防御策、再発防止策いずれも決め手がない。
桑野は、むすっとしている。無理もない。レポートもほぼできて、終わったと思っていた仕事が白紙に戻ろうとしているのだ。
「今回、パスワードリスト攻撃だと判断した理由はなんだ?」
だが、専務に頼まれた以上、きっちり仕事しなければならない。
「サイト側に侵入された形跡がないこと、ログイン試行回数と成功件数の確率が過去のパスワードリスト攻撃に近いこと、複数の特定のIPから複数のアカウントへのログイン試行がなされていることなどが根拠です。決定的なのは、当社の他のクライアントが受けたパスワードリスト攻撃で使われたパスワードと一致しているものが多数見つかったことです」
「桑野……さんの言ってることは間違ってはいない。オレもそう思う」
昔のくせで、つい「桑野」と呼び捨てにしそうになる。
「……よかった。じゃあ……」
桑野がほっとした声を上げ、周囲のメンバーからため息がもれた。
「これがなければ、それでよかっただろう」
そう言うとオレは、バッグからiPadを取り出し、桑野たちに画面を見せた。
「パスワードリスト攻撃シミュレータ? なんですか、これは?」
「書いてある通りのもの。パスワードリスト攻撃をシミュレートするソフト。このソフトに『正規のIDとパスワード』をインポートすると、ログインできない不正なIDとパスワードを一定数自動生成する。その後、『正規のIDとパスワード』と自動生成した不正なIDとパスワードで、専用プロキシを経由して指定したサーバにログインを試行する。その試行結果は、桑野さんが言った既存のパスワードリスト攻撃のログイン試行回数と成功件数の確率と同じになる。そうなるように不正なIDとパスワードを混ぜてるんだ。過去に漏洩してもう使えなくなっているパスワードや自動生成したもので水増ししてる。見かけ上、同一IPから一斉にアクセスがあったように見える。複数のIPアドレスに分散して見せる機能やTorを利用する機能もある」
「……なるほど、確かにパスワードリスト攻撃のシミュレーションになりますね。防御側の態勢を確認するためのツールですか?」
桑野は、普通に感心している。ダメだ、鈍すぎる。
「このソフトの取扱説明書には、そう書いてある。桑野さん、言いたくないけど、ここで気がつかないとサイバーセキュリティ担当者として問題あると思うよ」
「どういう意味です?」
「内部関係者の人間がIDとパスワードを盗み出して、そのまま転売すれば疑われやすいが、このソフトでパスワードリスト攻撃を仕掛けた後ならそっちからの漏洩だと思ってくれる。このソフトは、『個人情報ロンダリングツール』なんだ」
「あ? ああっ!? いや、待ってください。IDとパスワードを盗んだなら、攻撃する必要ないでしょ。あれ?」
さすがに桑野もわかったようで、不安な表情をありありと浮かべた。他のメンバーもざわめき出す。
「まだ、わかってないようだな。内部関係者が密かに社内から利用者の個人情報を盗んで、そのまま転売すると、外部からの侵入の形跡がないから内部犯行が疑われるだろ。でも、外部からパスワードリスト攻撃をして、成功させておけば、そっちからの漏洩と思ってくれる。だから、わざと発見しやすいパスワードリスト攻撃をしてるんだろう。なにしろパスワードリスト攻撃は被害サイトには罪がないという、ありがたい漏洩事件のストーリーを作ってくれるロンダリングツールなんだ。再発防止でもたいしたことはできない。言葉を換えると、ほとんどなにもしなくていい。被害サイトにとっては、内部犯行よりパスワードリスト攻撃の方が受け入れやすい結論だ。あのさ、この数ヶ月で、これだけの数のパスワードリスト攻撃が集中して発生してるって、おかしいと思わないか? 『個人情報ロンダリング』が結構含まれてるような気がするんだ」
「あれ? 待ってください。それだと、他のパスワードリスト攻撃で使われたパスワードが今回も使われている説明がつきません。一番大事なとこです」
桑野にしてはいいところに気づいた、とオレは思った。確かに過去の事件で同じパスワードが使われていたら、パスワードリスト攻撃と判断する強力な証拠になる……と思う早とちりは多い。
「お前なあ、大事なことを忘れてるだろ。犯人は事件が起きればうちが調査することを知ってる。だからうちの他のクライアントに対してもパスワードリスト攻撃シミュレータで攻撃しておくんだ。ばれないように試行回数を最小限にして、よく使われるパスワードやデフォルトパスワードを適当にまぜておけば成功確率は維持できる。その事件をうちが調査すれば『過去の事件で使用されたパスワード』のできあがり。お前の言う『決定的な証拠』だ。これがパスワードリスト攻撃が増えているもうひとつの理由かもしれない。なにしろ他のサイトを攻撃して痕跡を残せば、それがパスワードリスト攻撃の証拠なるんだからな」
「カモフラージュのために、複数のサイトを攻撃するんですか? 確かにつじつまは会ってます……し、しかし、それには証拠がないでしょう」
だが、すぐに身体を乗り出して反論してきた。
「そうだよ。でも、同じようにパスワードリスト攻撃で漏洩したっていう証拠もない。このツールが存在する以上は、全てのパスワードリスト攻撃は内部関係者が『個人情報ロンダリング』を行った可能性も合わせて考えなきゃいけないってことだ。内部調査を進める必要があるのは明らかだろ?」
「なるほど……はい」
「だいたい、今回の調査を依頼してきたサイバーフジシンは、二年前に元社員がエクセルで管理してた著名人ブログのIDとパスワードを使って改竄事件を起こしたとこだ。ブラック企業としても名が知られている。社内のモラルが低いんだ。内部犯行を生み出す企業風土がありそうだろ」
「工藤さん、それは言い過ぎです。仮にもクライアントですよ」
これもまた悩ましい問題だ。全てのクライアントが善良で真面目なわけじゃない。むしろ逆だ。ちゃんとすべきことをしてないから問題が起きる。問題が起きてからアクションを起こすのは最低だ。事前の予知、予防を行わない段階で企業組織として、まっとうに機能していない。だが、そういう連中がいるからオレたちの仕事は成り立っている。
「事実だから仕方がない。このツールはそこそこ売れている。ということは、こいつを利用して内部犯行を隠した連中が結構いるってことだ。サイバーフジシンにそういうヤツがいなかったという合理的な根拠はないだろ?」
オレの言葉に桑野はうなずいた。他の連中は、あっけにとられている。おそらくこの話を理解できているのは、ここにいる半分くらい。おさむい限りだ。
オレの名前は、工藤伸治。しがないフリーのサイバーセキュリティコンサルタントだ。長いこと仕事をさぼって貯金で食いつないでぶらぶらしていた。ちゃんと仕事をしなけりゃと思った時、飛び込んできたのが古巣のサイベリア企画からの依頼だった。オレが大学を卒業して最初に勤めた会社。今のところ、最後に勤めた会社でもある。かわいがってもらっていた山内専務が直々に頼んできたとあっては断れなかった。社会復帰するいいタイミングだと思って引き受けた。