クラウド時代のアカウント窃盗

2010/4/7-1

管理者の知らない間にドメイン名を「盗まれた」事例が紹介されていました。 Dreamhostというアメリカの会社で登録していた「VL.com」というドメインを、勝手にバハマのレジストラにドメインへと移転されてしまったというものです。

Boston Linux/UNIX General Discussion List - Dreamhost account hacked

それによると、夜の1時頃にパスワードリセット通知メールとともに、新しい管理用メールアドレス追加されていたようです。 そのメールを発見するとともに、正規の管理者がログインしようとしたところ、既にアカウント情報が変更された後で、「no such account」という状態になってしまっていたと述べられています。

そこで困ったのがDreamhostへの連絡方法だったようです。 Dreamhostに連絡をしようと思っても、サポートへの問い合わせはログイン後に表示されると、元記事のメールで述べられています。 さらに、Dreamhostは電話での受付はも行っていないとも、元記事メールで書かれています。

そこで、Dreamhostにアカウントを持つ知人経由で連絡をしたようです。

元記事では、パケットキャプチャなどによって途中経路でSMTPセッションが盗聴されてしまっているのではないかと疑っています。 ユーザがメールサーバまでの通信路を暗号化していても、メールサーバからメールサーバまでの間を盗聴されてしまうこともあることと、何度もリセットメールが来ていたのは盗聴がうまくいくまで試していたのではないかと推測していました。

Dreamhostからの連絡メールは14時間後に到着したようですが、その中で本人確認のためにクレジットカードに関しての情報を求められたようです。 ただ、元記事メールの最後で「これをメールで送るのは嫌だ」ということと、「faxを使おうか」と述べられています。 なお、faxに関しては、元記事コメント欄にて「でもファックスがそのままメールに転送されてる時代だから、ファックスだからといって安心はできないよね?」という突っ込みがありました。

クラウド時代のアカウント窃盗対応

この事件そのものは、いわゆる「クラウド」とは特に関係ありません。 しかし、この事件に対して元記事では「雲の中(in the cloud)でビジネスするときのコストの一つだよね」ということを言っています。

This experience highlights one of the costs of doing business "in the cloud." In theory a hosting service should be able to keep the software updated and more secure than a self-hosted solution, but with the latter, if a problem arises, you always have the option of hitting the "big red button" to shut it down, or take it off the network until you can figure out what's going on.

ホスティングサービスを購入することによって、自前でサーバ運用するよりも高いレベルのセキュリティを確保出来たり、ソフトウェアが適切にアップデートされ続けるという利点がある一方で、実際に問題が発生したときの対処は困難になると、元記事は考察しています。

旧来の方式によって自前サーバを運営している場合、何か問題が発生したら「大きな赤いボタン」を押して電源を落としたり、ネットワークから外してホスト内で何が起きているのかを確認できます。 確かに、クラウドの世界では、乗っ取られた後に「ネットワークから外して」確認することが困難な場合もありそうです。

元記事にある指摘を読んで「なるほどなぁ」と思いました。 クラウドサービスが色々と注目されていますが、セキュリティを強調されるものの、「実際に乗っ取られた後の対応」まで言及しているところは少ない気がしています。

ソーシャルエンジニアリングいろいろ

いくらファイアウォールやソフトウェアによるセキュリティを上昇させても、オペレータが騙されたり、ユーザ自身がパスワードを他人に盗まれたりしてしまえば、乗っ取られてしまいます。 この手のソーシャルエンジニアリング(ソシャールハック/ソーシャルクラック)によって、ドメインを不正に移転してしまう手口に関してのニュースはちらほら目にします。

最近の事例としては、自称イランのクラッカー集団に百度のドメインが横取りされて、一時的に百度が利用できなくなってしまうという事件がありました。 この事件では、クラッカー側が百度のエージェントであると主張しつつ、ユーザサポート用のチャット経由で管理用メールアドレスに関する登録情報を変更してしまいます。 このとき、クラッカーが指定したメールアドレスはGmailのものだったようです。 さらに、そのメールアドレスを利用したパスワード再発行依頼を出してパスワードを上書きしてしまいます。 この事件では、register.comが百度に訴えられたようです。

参考:「Domain Name Wire: How Baidu Got Hacked by the Iranian Cyber Army

TwitterのDNS情報が、自称イランのクラッカー団体に書き換えられた時も、フリーメールを利用したパスワードリセットが利用されたとされています(参考:Twitterクラック事件の原因?)。

さらに、カスタマーサービスへ電話をかけて、電話でアカウント乗っ取りの鍵となる情報を聞き出すことでアカウントを乗っ取るという事件も2005年に報じられています(参考:eWEEK.com: Hushmail DNS Attack Blamed on Network Solutions)。

これらは、最近言われている「クラウド」と直接関係があるわけではありませんが、オンラインアカウント経由で非常に重要な情報をやり取りし、そのアカウントに関しての操作権を管理者が持てないという意味では似ている気がします。

オンラインゲームと不正アクセス

こちらもクラウドとは関係ありませんが、アカウント乗っ取りに対する対応が発達している分野として、オンラインゲームが挙げられると思います。 仮想世界の貨幣やアイテムやキャラを、現実世界の金銭で取引するRMT(Real Money Trading)が頻繁に行われていることもあり、狙われることが多いようです。

スクウェア・エニックスは、オンラインゲームにおける不正アクセス自営手段と、被害にあったときの復旧ポリシーを公開しています。 本人確認の手続きと、手続きに使える書類等も公開されています。 (FF11は、国内専用のオンラインゲームなので本人確認の手段がありますが、例えば日本から外国のオンラインサービスを使っているときの本人確認は色々面倒そうだと思いました)

ファイナルファンタジーXI 公式サイト:不正アクセス対策

ITリテラシが高くない一般ユーザが「クラウド」の世界に入って来ることが増えると、オンラインゲームにおける不正アクセスと同じような状況が発生しそうだと妄想しました。

最後に

様々なビジネスがクラウドに軸足を移すようになると、何とかしてビジネスプラットフォームを奪ったり制御不能にしたりしようとする犯罪が増えるような気がします。 しかし、かといってコストエフェクティブな方式を否定していては競争はできません。

TwitterやTumblrやUstreamなど、自前でAS(Automonous System)を運用せずに、世界に向けて大規模ネットサービスを提供するベンチャー企業が最近は増えて来ている気がします。 Twitterが既に2度もフリーメール経由でのクラックを経験していると報じられていることを考えると、ちょっとしたところに非常にクリティカルな情報が集約されるという状況が今後は増えるのかも知れません。

結果として、アカウントを騙して一時的に奪うことで、雲の上に構築されたプラットフォームを丸ごと破壊したり妨害したりという事件が今後は増えるのかも知れないと思いました。

しかし、クラウド提供側としては「うちのサービスは完璧ですよ!クラックされることなんてありません!でもクラックされた場合には復帰する方法も用意してあります!」とは言い辛いだろうなぁとは思いました。 そういう事例が増えたら対処されたり、告知されたりするのかも知れません。

余談

何か色々書いているうちに、2008年のRichard Stallman氏インタビュー記事を思い出しました。

「愚かな考え」--R・ストールマン氏、クラウドコンピューティングを一蹴:ニュース - CNET Japan

個人的には、IaaSなどのクラウドサービスが通常のブレード共用Webサーバレンタル代ぐらいの料金まで下がってきたら使いたいと思ってますし、便利そうだと思うのですが、爆発的に普及して一般的な人々が現在のPCを使うようにクラウドを使うようになったらなったで色々ありそうだなぁと思った今日この頃です。

(各ユーザの手元にある個人PCはウィルスまみれになっている場合があることを考えると、単なるpros/consな気もしますが。)

最近のエントリ

過去記事

過去記事一覧

IPv6基礎検定

YouTubeチャンネルやってます!