Twitterのハッカーとのコンタクトに成功―攻撃手口の詳細が判明した

次の記事

DiggのKevin Rose、DiggBarの変更に不快感

この記事の執筆者はNik Cubrilovic。なお、この翻訳は原文の3割程度を省略してある。

Twitterの文書漏えい事件は、Twitter社員の個人のメールアカウントが乗っ取られたことに端を発した。TwitterのCEO、Evan Williamsは「Twitterシステムそのものから情報が流出したわけではなく、影響は軽微だ。 Twitterのユーザー・アカウントからの情報漏洩はいっさいない。漏洩した情報も主に社員個人にかかわるものであって、会社の秘密ではない」とコメントした。それを聞いたHacker Crollと名乗る攻撃者は腹を立てた。CrollはTwitter社の膨大な機密情報を入手していた。そこで彼は世界中にそれを知らせてやろうと考え、TechCruhchに対して入手した310件の文書すべてを送りつけてきたそこから騒動は一挙に拡大していった。

この記事はTwitterの秘密文書の内容に関するものではない。私は以下でHacker Crollがどのようにしてこれほど重大なTwitterの情報を入手できたのか、そのプロセスを詳しく解明してみたい。

どれほど重大な情報が盗まれていたか、当初Twitter側でまったく気づいていなかったのは明らかだ。Williamsが「漏洩した情報は会社関係の秘密ではない」と述べたのがそれを物語っている。後になってこの上なく重大な機密が漏洩していたことに気付くことになる。これには会社の財務予測から経営会議の議事録まで含まれていた。

先週、サーバのパスワードがpasswordだったことが発覚した件も含めて、われわれはこの問題について何度も報じてきた。しかし、最後にあと2つ記事が必要となった。われわれはHacker Crollとのコンタクトに成功し、長時間にわたって聞き取りを行うことができた。これによって前代未聞の情報漏洩を招いた攻撃の詳細を知ることができたので、まずこの記事で報告しようと思う。次に、この事件が展開していく中、Twitterが舞台裏でどのような対応を取ったかについても紹介したい。こちらの記事は現在準備中で、今週中に発表の予定だ。

ハッキングが行われたというニュースが伝わった当初、どれほどの規模でどれほどの情報が漏えいしたのか誰もはっきりしたことを知らなかった。そのためさまざまな憶測が飛び交い、一部のブロガーはGoogleのセキュリティーに問題があったと主張し、一部は文書をクラウド上に保管する最近のトレンドに原因を求めようとした。

われわれは、ハッカーから文書を受け取ると即刻Twitterにそのことを伝えた(添付文書そのものも転送した)。同時に送り主のハッカーにもコンタクトを試みた。やがて、Twitterに侵入したハッカーはわれわれをある程度信用するようになり、対話に応じてきた。私は何日もハッカーとやりとりし、どうやって攻撃を仕掛けたのか詳細を聞き出すことに成功した。同時に、この事件の本当の影響を知り、われわれが学ぶべき教訓を得ることもできた。

なお、われわれは取材によって判明したセキュリティー上の脆弱性をすべてTwitter側に伝え、対策が取られるまでこの記事の発表を待ったことを付けくわえておきたい。

Twitterへの攻撃―どのようにしてウェブ・サービスのエコシステムは破綻したのか?

他の成功したハッカーと同様、Hacker Crollの場合も、あくまでやりとげるという固い決意、忍耐、それに比較的単純な手法の組み合わせが効果を収めた。これによって怖ろしいほど多数のTwitter関係者の所有していたアカウントが乗っ取られた。直接、間接に攻撃されたアカウントはGmail、Google Apps、GoDaddy、MobileMe、AT&T、Amazon、Hotmail、Paypal、iTunesなどに及んだ。個別に見ればこれらのサービスはすべてそれなりのセキュリティー手段を備えていた。しかしこれらのサービスをエコシステムとして総体的に分析すると、きわめて深刻な脆弱性があったことが明らかになった。つまりドミノ倒しのように、最初の1枚の駒(今回の場合はGmailだった)が倒れると他のすべての駒も次々に連鎖的に倒れていったのだ。その結果はご覧のような最悪の大混乱だった。現在、ますます多くの個人情報、企業機密がクラウド上に保管されるようになりつつある。今回の事件は、こうした秘密を処理、保管しているサービスをどのように管理すべきか、セキュリティー上の貴重な教訓となった。

Hacker Crollは20代のフランス人と判明した。彼は現在ヨーロッパに居住しており、ウェブのセキュリティーに興味を持ち始めたのは2年前だったという。彼は本業の合間に、ウェブ上の個人、企業のアカウントに侵入する手口を学び、多大な時間をハッキングにかけてきた。ハッキングの技術的知識はウェブ上に公開されている情報に加えて、ハッカー仲間との情報の交換によって得たものだった。今回のTwitterへの侵入がこれほど大きな影響を与えたものの、彼のハッキングの動機は主として秘密な情報を覗き見たいという好奇心と、ウェブのセキュリティー・メカニズムに対する関心だったという。

検索エンジンとウェブ・サイトを利用してターゲット企業の情報を丹念に収集することからHacker Crollの攻撃の最初の一歩は始まる。Twitter攻撃に際しても、公開情報から名前とメール・アドレス、社内での職務などを含む、社員リストを作成したのを手始めに、Twitter社の詳細なプロフィールを作成していった。社員の生年月日、ペットの名前といった一見無害なプライベート情報も収集され、記録された。社員に少しでも関連ある情報を求めて数百万のページが検索された。

こうして攻撃ターゲットの見取り図が作成されると、Hacker Crollにはこの関係者のネットワークのどこか一か所に侵入口を作ればよいことがわかってきた。ビジネス用のアカウントにせよプライベートなアカウントにせよ、どこか一か所を破れば、ドミノ倒しのように次々にアカウントを破ることができる。ウェブには中央集権的な身元認証メカニズムがない。これは当時インターネットで支配的だったユーザーの相互信頼の文化の上にウェブがデザインされたからだ。秘密データを秘密にしておくには
れぞれのサービスが独自に開発したメカニズムを利用する他ない。ユーザーは、各サービスごとの約款にしたがってユーザー登録を行いパスワードを管理しなければならない。この場合、問題になるのは、多くのユーザーがIDとして利用しているのはメールアドレスだという点だ。多くのサービスのセキュリティー・システムはそのメールアドレスに送信されたメールを読めるのは正当なオーナーだけのはずだという暗黙の信頼の上に成り立っている。次の問題は、パスワードの管理だ。それぞれのアカウントごとに異なるランダムな文字列がパスワードとして使用されていれば、理論的にはそのパスワードを推測するのにコンピュータを使っても何か月、あるいは何年もかかるはずだ。ところがここに重大な脆弱性が潜んでいるのだ。人間の習慣である。

ウェブ・サイトのトップページを一瞥しただけで、われわれのデジタル・ライフの管理が容易ではないということが分かる。「パスワードを忘れたら」、「ユーザー名を忘れたら」、「ログインを続ける」、「IDを忘れたら」、「私は誰だったっけ?」といった表示がいたるとこに見られる。われわれはたった4桁の暗証番号を覚えるのにも苦労している。こうしたユーザーを相手にするウェブサービスのセキュリティーシステムは妥協の塊にならざるをえない。ユーザーはそれぞれのアカウントごとに異なるまったくランダムな文字列などとうてい記憶できるものではない。こうして個別に見れば理屈ではそこそこ安全なサービスも、ユーザーがすべてのアカウントに同じパスワードを使い始めることによって安全性はたちまち危殆に瀕することになる。

ここでHacker Crollの例に戻ろう。彼はTwitterの社員その他に関連する情報を大量に収集した。Twitterは最近目立つようになった業務がほぼ完全にクラウド上にある企業のひとつだった。共同作業用のアプリケーションやメールを通じて、Twitter社員は仕事上の情報を他の社員とオンラインで共有していた。このため、Twitter社のセキュリティーを破るには、単にセキュリティーが最も弱いアプリケーションを狙えばよいだけでなく、最も弱いアプリケーション上の最も弱いユーザーを狙えばよいことになった。HackerCrollがセキュリティー意識の低いユーザー、セキュリティーメカニズムの脆弱なサービス、そしてユーザーの個人情報を組み合わせたことによって攻撃成功の確率は指数関数的に増大した。社内情報システムとしてクラウドを重視する企業は、セキュリティーを個々の社員の自己管理に任せる傾向が強い。今回Twitterを襲った惨事は、クラウドベースで業務を行っている他の会社にとって他人事ではあるまい。

Twitterにとって不幸なことに、Hacker Crollは、上述のような「組み合わせによる脆弱性」を発見した。といっても、問題の社員の行動は一般のウェブユーザーの98%と同じだった。発端は社員のGmailアカウントだった。Gmailにはパスワードを忘れた場合、パスワードをリセットできる機能がある。このとき、ユーザーは身元を認証するためにいくつかの秘密の質問に答えなければならない。おそらく何人ものTwitter社員のアカウントを試した後だろうが、Hacker Crollはある社員のGmailアカウントに攻撃の起点となる弱点を発見した。Crollがパスワード・リセットの要求をすると、Gmailシステムはユーザーの第2のメールアカウントに通知のメールを送ったと言ってきた。Gmailはセキュリティーと使い勝手の妥協として、どのメールアカウントに通知を送ったか知らせるヒントを表示する。この場合、第2のメールアドレスは ******@h******.comだと表示された。当然、このドメインはhotmail.comと推測される。

CrollはHotmailに場所を移してパスワードを盗みだす努力を続けた。彼はGmailのユーザー名から、この社員がhotmailで使っていたであろうユーザー名を推測することができた。調べてみると、なんとGmailに第2のメールアドレスとして登録されているはずのhotmailのアカウントはすでに無効になっていた。Hotmailでは一定期間利用されていない休眠アカウントを削除し、リサイクルすることにしている。Crollはそのhotmailにそのユーザー名で新規登録し、Gmailに戻って再度パスワード・リセットを要求した。こうしてCrollは難なくTwitter社員のGmailアカウントへのアクセスを確保した。最初のドミノの駒が倒れた。

きちんとデザインされたウェブ・アプリケーションの常として、Gmailもユーザーに忘れたパスワードをいきなり教えるようなことはしない。Gmailはユーザーに新しい別のパスワードを登録させる。Crolは新しいパスワードでアカウントにアクセスしたものの、このままではパスワードが変わっていることを本来のユーザーに気付かれてしまう。そこで元のパスワードが何だったか推測し、それに戻しておくねばならなかった。しかし彼は今度はGmailのメール・アーカイブ全部にアクセスができる。すぐに次のような意味のメールを発見した。

宛: Lazy User
発: Super Duper Web Service
件名: Super Duper Web Serviceに登録ありがとう

Lazy Userさん

Duper Web Serviceに登録ありがとう。あなたのアカウント情報は以下のとおりです。

ユーザー名: LazyUser
パスワード: funsticks

このパスワードをリセットする場合は(そんなことをする人はまずいませんけどね)次のリンクをたどってください。

Super Duper Web Service

悪い習慣#1―同じパスワードをどこでもかまわず使う。これが重大なトラブルの原因になった。読者も自分のメール・アーカイブで自分のパスワードを検索してみるとよい。意味が分かるはずだ。Crollは、メール・アーカイブからこのユーザーがよその多数のサービスで使っているパスワードを発見し、Gmailのパスワードをそれにリセットした。Crollは推測が的中しているかチェックするためにしばらく待った。ほどなく、問題のGmailアカウントに新しい情報が更新され始めた。メールが送信され、受信され、返信され、下書きが保存される。Gmailアカウントのオーナーはこのメールアカウントが完全にハッカーの手に落ちていることにまったく気付かなかった。ドミノの2枚目が倒れた。

ここから攻撃は急速に進んだ。

CrollはアクセスできるようになったGmailの情報を分析して、ターゲットに関するプロフィールをさらに詳細なものとすることができた。彼はこのTwitter社員が登録していた他のサービスに対しても軒並み攻撃をかけた。ある場合には単に同じパスワードが使われていた。こうしてCrollはTwitter社が利用していたGoogle AppsのGmailアカウントも乗っ取った。やがて、この社員だけでなく、Twitterの他の社員も皆、個人で登録したGmailアカウントと同じパスワードをGoogle Appsのメールアカウントに
使っていることが判明した。パスワードの推測ができない他のサービスの場合、Crollは、そうしたサービスの多くに備えられている問題のある機能―「秘密の質問」によるパスワードの回復機能を利用した。

「秘密の質問」機能が悪用されてパスワードが盗まれた例は、過去にもある。昨年9月、共和党の副大統領候補、サラ・ペイリン元アラスカ州知事が個人的な用途のために利用していたYahooメールのスクリーンショットWikileaksに公開されたケースなどがそうだ。‘Anonymous’と名乗る正体不明のハッカーグループが、巧妙な推測によって秘密の質問に対する答えを発見し、パスワードを盗んだとされる。2005年前半にはセレブのパリス・ヒルトンが同様の被害に遭った。ヒルトンのT-Mobile Sidekickのアカウントが破られ、通話記録、連絡相手、メッセージ(一部にはヒルトン自身のプライベートな写真が添付されていた)がメディアに漏洩した。ここでも「秘密の質問」の答えが本当に秘密だったかどうかが問題になった。

実際のパスワードが分からなくてもペットの名前を知ればパスワードが手に入ってしまうというのは攻撃側にとって非常に有利な仕組みである。パスワードを推測する場合、その候補は何千万もあるのに、秘密の質問の答えの候補はほんの数十しかない。パスワードに加えて、「母親の旧姓」のような秘密の質問に答えるよう要求するのはかまわないが、パスワードを忘れた場合に秘密の質問に答えるだけでパスワードが回復できるようなシステムは危険である。ことに、答えがアカウントの設定情報の中に平文で残っていたり、ユーザーが多数のサービスでいつも同じ質問と回答を登録したりするようになればなおさらだ。

最初にまず1人の社員のメール・アカウントが乗っ取られた後、Twitterへの侵入は加速度的に拡大していった。Twitter内外で次々に関係者のアカウントが攻撃を受けクラックされていった。ひとたびGoogle AppsサービスのTwitter社のメール・アカウントの一つを手に入れると、Crollはさらなるパスワードやユーザー名などの機密情報を含む大量の添付ファイルをダウンロードすることができた。あっという間にCrollはEvanWilliams、Biz Stoneを含む最高幹部3人のメール・アカウントを乗っ取ることに成功した。

Crollはこの後、AT&Tの通話記録、Amazonの購入記録、MobileMeのメール記録、iTunesのクレジット・カード情報(iTunesにはクレジット・カード情報を平文で表示してしまう脆弱性がある。われわれはこの点についてAppleに通報しておいたが、まだ返事がない。そこでこの脆弱性については詳しく触れないこととする)へと攻撃の手を伸ばしていった。

かくてHacker Crollの攻撃が目覚ましい成功を収めた後、Twitter幹部には地獄のような日々が始まることとなった。

攻撃の概要を再度まとめておこう。

  1. Hacker Croll(HC)はまずTwitter社員のGmailアカウントを攻撃した。パスワード・リセットを要求を送ったところ、リセットのためのリンクが送られた第2のメールアドレスは期限切れで無効になったHotmailアドレスだった。HCはそのユーザー名を推測して新たにhotmilに登録し、Gmailのパスワードをリセットした。
  2. HCは次に、Gmailのアーカイブを研究してリセット前のGmailパスワードを推測し、それにリセットした。Twitter社員はアカウント乗っ取りにまったく気づかなかった。
  3. Twitter社員はGailで使用していたパスワードをGoogle Appsでも使っていた。ここには貴重な企業情報が大量に蓄積されていた。 特にメールの添付ファイルは宝の山だった。
  4. HCは、こうして得た情報を利用してさらに他のTwitter社員のメールのパスワードを推測し、アカウントを乗っ取った。
  5. HCは、まったく同様のパスワード推測、リセットの手口で、AT&T、MobileMe、Amazon、iTunesを始め、他のアカウントを次々に手に入れた。iTunesのシステムに存在した脆弱性を利用してクレジットカード情報を平文で表示させることもできた。HCはGoDaddyのTwitterドメインも乗っ取った。
  6. この時点でも、Twitterはセキュリティーに重大な問題が起きていることにまったく気付いていなかった。

Crollはこうして得た情報を売って金を儲けることもできたはずだ。しかし彼はそうはしなかったようだ。Crollは「そのようなことは一切考えなかった」と語っている。「私の目的はTwitterやその他のスタートアップに情報セキュリティーの弱点を指摘し、もっと堅牢なシステムを構築するよう促すことにあった」と彼は主張している。

CrollはまたTwitterに多大な迷惑をかけたことを謝罪している。われわれはCrollにTwitterに対するメッセージを求めた。それに答えてCrollは以下のように書いてきた。

Je tiens à présenter toutes mes excuses au personnel de Twitter. Je trouve que cette société a beaucoup d’avenir devant elle.

J’ai fait cela dans un but non lucratif. La sécurité est un domaine qui me passionne depuis de longues années et je voudrais en faire mon métier. Dans mon quotidien, il m’arrive d’aider des gens à se prémunir contre les dangers de l’internet. Je leur apprend les règles de base.. Par exemple : Faire attention où on clique, les fichiers que l’on télécharge et ce que l’on tape au clavier. S’assurer que l’ordinateur est équipé d’une protection efficace contre les virus, attaques extérieures, spam, phishing… Mettre à jour le système d’exploitation, les logiciels fréquemment utilisés… Penser à utiliser des mots de passe sans aucune similitude entre eux. Penser à les changer régulièrement… Ne jamais stocker d’informations confidentielles sur l’ordinateur…

J’espère que mes interventions répétées auront permis de montrer à quel point il peut être facile à une personne mal intentionnée d’accéder à des informations sensibles sans trop de connaissances.

Hacker Croll.

このフランス語のメッセージの大意を訳すと以下のとおり。

私はTwitterの皆さんに対して個人的に謝罪します。Twitter社にはすばらしい未来が開かれていると思います。

私がTwitter社の情報システムに侵入したのは金銭的利益のためではありません。私は何年も前からウェブのセキュリティー問題に夢中になっていました。私は自分の仕事をしたかっただけです。私は普段、インターネットに存在する危険から人々を守る仕事をしています。私はいくつかの簡単なルールを学びましsた。たとえばファイルをクリックしてダウンロードする前に素性に十分注意せよ、とかキーボードから入力する内容には気をつけよ、などということです。使用するコンピュータにウィルス、ハッキング、フィッシング、スパムなどに対抗するツールをインストールしておくべき
す。オペレーティング・システムやよく使うソフトウェアは常に最新の状態にアップデートしておく必要があります。そして絶対に同じパスワード、似たパスワードを使ってはなりません。そして定期的に変更しておくべきです。またパスワードのような重要な情報はコンピュータ内に保存してはなりません。

悪意ある部外者が、さほどの専門知識がなくても、いかに容易に機密情報にアクセスできるが私のささやかな介入によって、証明され、将来にわたって警告となるよう望みます。

Croll hacker.

さて今回の騒動の教訓はどのようなものだろう? クラウド・サービスは安価で便利であり、スタートアップの成長を助けることができる。しかし、クラウドのセキュリティーに関するインフラはまだようやく生まれつつあるといった状態だ。特に注意しなければならないのは、個別のサービスは単独ではそこそこ安全であっても、クラウドのエコシステム全体はきわめて脆弱である可能性がある点だ。ウェブ上では膨大な個人情報がきわめて簡単に検索可能だ。現実には人々は仕事に関する情報とプライベートな情報を区別せずにウェブ上に保管している。ここに大きな問題の種が潜んでいる。たった一つのGmailアカウントが乗っ取られると、全社の情報セキュリティーが崩壊する危険にさらされる。まず手始めにパスワードの変更をお勧めする。異なるサービスに同じパスワードを使ってはならない。パスワード回復のための質問にウェブでそのユーザーを検索すれば簡単に入手できるような情報を使ってはいけない。(簡単な対策はこうした質問にウソの回答を登録することだ)。そして何事につけてもセキュリティーの保持には偏執的なぐらいでちょうどよい。いつかそうしていて良かったと思うときが来る。

[原文へ]

(翻訳:滑川海彦/namekawa01

“Twitterのハッカーとのコンタクトに成功―攻撃手口の詳細が判明した” への12件のフィードバック

  1. しなぷす より:

    【ユルいつながり?】メディアのTwitter活用広がる…

    新聞社やテレビ局などの大手メディアで、米国発のミニブログサービス「Twitter(ツイッター)」の活用が広がっている。短文で素早く発信できる速報性とライブ感がもてはや…

  2. […] Twitterのハッカーとのコンタクトに成功―攻撃手口の詳細が判明した. […]

  3. […] Twitterのハッカーとのコンタクトに成功―攻撃手口の詳細が判明した […]

  4. sis より:

    これだけGmailなどのメールアカウント情報を他人に渡すことが危険だといってるのに、多くの人が他人に預けている。
    iPhoneアプリでもGoogle DocsとやりとりしたりするアプリはIDとPASSWORDを聞いてくる。
    これだけに限らない。Twitterアプリも同様だ。(OAuthを使ってくれ)
    この記事が言っている、1つが崩れればドミノ式に崩れる。1つを渡せば他のアカウントを乗っ取られる可能性が高まる。

    それでも、アカウント情報を入力しますか?サーバーに送らずローカルで保存しているから安全、というプロプライエタリなソフトを信じますか?

  5. […] 1.Twitterのハッカーとのコンタクトに成功―攻撃手口の詳細が判明した(7/20) […]

  6. アナトミ より:

    我が日本の「電子政府ユーザビリティガイドライン」では「パスワードを忘れた時にヒントになる言葉を登録でき、パスワード入力画面から呼び出すことができる」ことと書かれていることをご存知か?

  7. […] 7月に起きたTwittergateのときは、一人のハッカーがいくつかのメールアカウントに侵入してTwitterの内部文書を盗んだ。ハッカー本人から話を聞く機会があったので、その手口の解説を本誌の記事「Twitterのハッカーとのコンタクトに成功」に書いた。そして今日は不幸にも、その続編として、「TwitterのDNSサーバが昨夜やられた(そしてサイトは損壊ページへリダイレクトされた)」をこれから書かなければならない。 […]

  8. Gmailのセキュリティ設定を再確認してみた…

    経験者は語る、Googleアカウントのハッキング被害から学んだ10のこと : ライフハッカー[日本版] と Gmailのパスワードが盗まれた事件の顛末 – Digital Inspiration | エンタープライズ | マイコミジャーナル を読んで、Gmailの設定を再確認しました。
    どちらも元ネタは以…….

  9. […] “セキュリティ”の技術を責めてはいけない。暗号化の徹底やファイアウォールの強化は助けにならない。RockYouのデフォルトのユーザ名は、ユーザがいちばんよく使うメールアドレスだったのだから。有名なWebメールサービスや、そのほかのよく使われるオンラインサービスも、あの必ずある“パスワードをお忘れですか?”に対して新しいパスワードをユーザにメールで送らなければならない(それがどんなに楽しい仕事か、Twitterに聞いてみよう)。 […]

  10. 重要な記事。

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中