wakatonoの戯れメモ

はてなダイアリーから引っ越してきました。

RAGTAG Onlineの不正アクセス被害考察(1)〜漏れたものは何&手段は?

Security

5月7日深夜1:59までの間にご登録いただいた、合計30,568名の会員情報のうち,以下のものが漏洩したとある.

  • メールアドレス(全部)
  • パスワード(全部)
  • 会員ID(一部)

メールアドレスはそれだけで「こいつだ!」と個人を特定できる情報ではないため,それ単体では個人情報としては扱われないとされる.会員IDも同様.
不正アクセスによるお客様情報流出に関するお知らせによると,SQLインジェクションで豪快に抜かれたように読める.当該脆弱性は修正されたようであり,そのことはよい.
ここまで読んで,安心した人は甘い.それ以外の記述でイマイチ(かなり?)不安が残る.

RAGTAG Onlineの不正アクセス被害考察(2)〜そんな対処や注意喚起内容で大丈夫か?

Security

周知内容を確認すると,以下のような対処を行った,とある.

  • WEBシステムのセキュリティの見直しを行った上でのプログラム修正実施
  • 安全性確認のため,サイト再開前にすべてのプログラムを精査

そして今後の予定は以下のとおり.

  • データベース内に保存されたパスワードの暗号化
  • 外部機関による更なるセキュリティ安全性診断の実施
  • 調査・原因の究明・対策の実施継続
  • 解明された内容、追加の対策等の随時報

これは充分か?といわれると,この時点では不安が残る.もちろん,追加実施する対処によってはいろいろと解消する可能性もあるわけだが.

RAGTAG Onlineの不正アクセス被害考察(3)〜「大丈夫だ.問題ない」とは言い切れない…

Security

まず,漏れてしまったもののうち,「暗号化します!」と言ってるのはパスワードだけというのが気にかかる.
そして,不正アクセスによるお客様情報流出の経緯に関するお知らせには,以下の記述がある.


クレジットカードについては、管理システムが今回問題になったサーバーとは異なるため、そちらのサーバーについては影響範囲外となります。そのためクレジットカード情報については流出していないことをサーバー管理業者が確認しました。


・クレジットカード情報の安全性は確保されています。

ところがこれらの確認および報告は,すべて「サーバー管理会社」によるものであり,どのように実施したのか(もしくは第三者機関による確認が行われたのかどうか)が明記されていない.
よいほうに捉えると,このサーバー管理会社から外部機関への確認依頼を行い,結果を受け取って精査したと考えられなくもないが,それならば「外部機関」というプレーヤーが今後の対処のところで初めて出てくるのは少し不自然だ.

また,カード情報の取り扱いに関する内容が不明瞭であることも気にかかる.攻撃で漏洩していないのは事実だとして,「カード情報をどう管理している」とは書かれていない.穿った見方をすると,エクスコムグローバル社と同じように,暗号化もなにもしない状態で管理されているのではないか?とも捉えられかねない.

「オマエ考えすぎ」と感じる人もいるかもしれないが,そもそも「パスワード暗号化してませんでした」という一言があるあたりが,「そんな対策で大丈夫か?」という突っ込みドコロになっている.

RAGTAG Onlineの不正アクセス被害考察(4)〜「そんな周知で大丈夫か?」「大丈夫だ,問題ない」とは(ry

Security

ということで,周知の内容にも触れておこう.


このような事態を起こし、情報が流出してしまった会員の皆様には、多大なご迷惑、ご心配をおかけいたしますことを、深くお詫び申し上げますとともに、メールアドレスとパスワードが悪用されてしまう可能性を考え、当社サイトおよび他社で登録されているパスワードの変更をお願い申し上げます。

実はこの周知を見て不思議に思ったことが,上記で赤字にした部分だ.まとめると以下のような感じだ.

  • IDはユーザが任意に設定できるため,この部分が漏れている場合,IDとパスワードの組も悪用される可能性がある
  • 悪用される可能性を認識しているならば,運営側でなぜパスワードの無効化などを行わないのか

前者については,確かにリスト型アカウントハッキング攻撃に使われることが多いのは,メールアドレスとパスワードの組だが,別にメールアドレスでなくともIDとパスワードの組でもトライは可能だ.

後者については,悪用されている可能性を認識しているならば,その前にやるべきことはパスワードの無効化と再設定のお願いを送信することのはずだが,上記周知を見て「なんでそうしないのか」と疑問に感じていたのだが,少し触ってみてその疑問は「もしやそれができないのではないか」という疑念にかわった.

さらに言うならばこのサイト,実際に登録してみてわかったことがあるが,それはちょっと伏せておく….

あと,以下のような可能性を列挙しているが,これもまた…という風である.


≪悪用されてしまう可能性について≫
・悪意のあるフィッシングサイトへ誘導するメールや、ウイルスに感染したメール、出会い系などの迷惑メールが届いてしまう可能性があります。
・メールアドレスとパスワードでログインできる別のサイト(FacebookTwitter、他社様のオンラインショップなど)に、同じメールアドレスやパスワードを登録している場合、なりすまし投稿・なりすまし注文のほか、そのサイトに登録している他の個人情報(お名前・ご住所・電話番号など)を盗まれてしまう可能性があります。

この中で,「メールアドレスとパスワードでログインできる別のサイト」とあるが,そもそも「IDが漏れている人の場合は自サイトも対象になる」という可能性を述べていない(忘れただけかもしれないが).

ちなみにカード情報については,このサイトに保存するのが怖いので,自分では確認できていない….

RAGTAG Onlineの不正アクセス被害考察(5)〜それでもこの件で評価できること

Security

ネガティブなことをあれこれ書いたが,それでも評価できることは少なくとも2点ある.
それは以下のとおり.

  • 2013年5月7日に発生した事案に対し,5月9日には公開と注意喚起を実施している
  • 事実をもとに取ったアクションについて報告を行っている

システムの作りは正直アレだがw,このアクションの早さは評価できる.どっかの会社とは大違いだw

リスト型アカウントハッキング攻撃の目的に関する考察〜価値の高いカモリスト作成

Security

リスト型アカウントハッキング攻撃とは,通常のブルートフォース攻撃とは違い,準備したIDとパスワードの一覧を用いてログイン試行を片っ端から行なっていく攻撃,と認識している.
IDを固定してパスワードをあれこれトライしていくタイプのブルートフォース攻撃の場合は,ログイン試行回数を超えると当該IDの利用は停止される(アカウントロックされる)ため,当該IDの持ち主は何らかの攻撃対象になったことに気付く.
ところが,リスト型アカウントハッキング攻撃は,同じIDで複数のパスワードというわけではなく,IDとパスワードの組を複数回試していく.このため,試行回数で縛ろうとしても無理,という話になる.
このあたりの話は,徳丸さんの日記に詳しいので,省略する*1

このところ,「大量のアカウントに対して不正にログインされた」という話は多く耳にするが,「それによって(不正ログインされた以外の)実害が発生した」という話はあまり聞かない.

オレがこの話を聞いて感じるのは

  • 入手したリストの確度を確認するために攻撃を繰り返している
  • アカウントごとにログイン成功したサイト数を確認し,より価値の高い(ログイン成功&攻撃に使える)アカウントリスト(=カモリスト)を作成している

ということだ.

  • 入手したアカウントとパスワードのリストは,何もしなければただの文字列の塊である.
  • かといって,実際に何かを仕掛ける時に初めて使うというのも(攻撃側にとって)リスキーである.
  • 攻撃側が(実害を発生させない程度に)認証トライし,リストの品質を確認する

ということを行った結果が,ここのところよく聞かれる攻撃の裏側にあるのではないか?というのがオレが持っている仮説の1つ.なんというか,タダで教えてくれるんだから,これほどおいしいテストシステムはないよねw

で,対策についてはよく言われているが,サービスやサイトごとにパスワード変えてねとしかいいようがない.
機械的に来るアクセスをシステム側で弾くためには,(これまたよく言われてることだが)CAPTCHA認証を入れて,(強制的に)人手を介するようなつくりにすることなどが挙げられる.

…確かに破綻してると言われるわけだわ.

*1:ボロが出るから書かないwとも言うw

それは robots.txt の問題じゃなくて...を読んで感じること

Security

書いてあることはおおよそ同意.
ただ,それに加えてオレが感じるのは,「攻撃者に無用な情報を与えすぎている」というところ.
特に,残存しているCHANGELOG.txtなんかは,使っているソフトウェアのバージョン推測を容易たらしめる情報であり,残しておくことに対して何のメリットも感じられないどころか害しか思い浮かばない.

セキュリティレベルを高くするためには,攻撃コストを高く設定する必要がある

Security

きょうび攻撃者が嫌がるのは,「バレること」「捕まること」「おカネがかかること」なんではないかと思う今日このごろ.
裏を返すと,攻撃者が好むことは「バレないこと」「捕まらないこと」「おカネがかからないこと」なんではないかなと.

「バレなきゃ捕まらない」なんてコトバがあるので,「バレない=捕まらない」として,この部分をなくしていくためにはもうなんというか「監視」とか「検知」とかいうところを精度上げたり研ぎ澄ましていくしかない.このあたりはオレも興味あるところの研究分野.

あとは「おカネがかからない」という話をいかにして潰していくか?という話を考える必要があるのかなと感じている.要は「攻撃にかかるコストをいかに上げるか」ということ.この場合のコストは単純におカネだけの話ではなく,時間や工数もこのコストに含まれる.

変な話だが,大量の試行をするのに人手をかけさせるように仕向けるなんてのは,立派なコスト上昇の要因だ.人手をかけることで,時間もかかれば(人を使えば)人件費もかかる.法的な観点からも公序良俗の観点からもまっとうとはいえないけど,攻撃行為をビジネスと見立てるならば,ビジネスを遂行するための経費がかさんでもやるという判断は普通は行わない.

ユーザに手間はかけさせないけど攻撃に手間はかかるようにする,というのは,セキュリティの観点からはアリかなと考えます.

ちなみにこの検討,攻撃側の視点が不可欠です.オレが「攻撃側の視点をもって防御を考える」といってるのは,こういう話もあるからなのです.