海の向こうの“セキュリティ”
第36回:エストニアの悪徳ISPによる犯罪行為の実態が明らかに ほか
8月は、TwitterとFacebookがDoS攻撃を受けたり、米国で1億3000万件ものクレジットカード情報を盗んだ犯人が告発されたりといったさまざまな話題がありましたが、今回はそのような大規模でメジャーな話題ではなく、少しマイナーなローカル色のある話題を紹介します。
●豪連邦警察、赤っ恥?
話は8月12日に行なわれたメルボルンに住むある人物の自宅の家宅捜索に始まります。この人物は、約5000名のメンバーからなるネット犯罪者たちのアングラフォーラム「r00t-y0u.org」の管理者であるとされています。警察は、この家宅捜索によって同フォーラムの管理者権限を取得し、同フォーラムをハニーポットとして「おとり捜査」を行なうことにしたのです。
ところが、この家宅捜査はフォーラムメンバーには筒抜け。逆にメンバーと思われる人物からの「逆襲」を受け、捜査に使われていた警察のサーバーが侵入され、そこにあるデータが盗み出されてネット上にさらされる事態となったのです。
しかも、その侵入の直接の原因が、MySQLのパスワードが空であったという間抜けな事実まで暴露され、警察はとんだ赤っ恥をかいてしまったわけです。
一方、警察は侵入されたことは認めたものの、重要な情報は盗まれていないとしています。このあたりの事実関係の詳細は不明ですが、もし犯人側が指摘している空パスワードによって侵入されたのであれば、これは本当に間の抜けた話としか言いようがありません。
また、これにはいくつかの付加的なエピソードもあります。
家宅捜索後、警察は「すでにこの件で何人か逮捕している、お前たちの行動は全部お見通しだ」といった内容の「挑発」をフォーラムメンバーに対して行なっていたことも、結果として恥の上塗りをする結果となったようです。さらに、実はこの件では誰も逮捕されていなかったことが後日明らかにされたことで、一層笑い者にされることになってしまったわけです。
そして話はまだ続きます。
警察の家宅捜索の手法に対しても専門家から苦言が提示されているのです。家宅捜索の際、捜査官は手袋をし、指紋を付けないようにはしていましたが、証拠品であるPCをその場で「操作」してしまっていたというのです。これは専門家でなくても「どうかしている」としか言いようがありません。ちょっとでも操作、それこそ電源を入れたり、落としたりするだけでも証拠としての意味と価値がなくなることは明らか。そんなこともわかっていない人間がサイバー犯罪の捜査を行なっているとは呆れてものが言えません。
このように、さまざまに「突っ込みどころ満載」な話題で、客観的に見れば「面白い」話ですが、もし自分が被害を受けた事件に関して警察がこのような対応をしていたとしたら、相当に腹立たしく感じるだろうと思います。
◆The Sydney Morning Herald(2009年8月18日付記事)
http://www.smh.com.au/technology/security/hackers-break-into-police-computer-as-sting-backfires-20090818-eohc.html
◆ZDNet Australia(2009年8月25日付記事)
http://www.zdnet.com.au/news/communications/soa/Did-the-AFP-taint-Melbourne-raid-/0,130061791,339298137,00.htm
●エストニアの悪徳ISPによる犯罪行為の実態が明らかに
エストニアのあるISPが実は裏で犯罪に加担していたことが明らかになり、その悪辣ぶりをまとめたホワイトペーパーがTrend Microから公開されました。
このISPは表面上、Webホスティングや広告などの、ごく普通のインターネットサービスを提供しているISPで、普通の「まっとうな」ユーザーもいます。しかしその一方で行なっている犯罪に関しては、文字通り「やりたい放題」。代表者はすでにクレジットカード詐欺などの罪で有罪判決を受けています。
今回は、ホワイトペーパーに記されている犯罪行為のいくつかを紹介します。
1)不正DNS
何らかの方法で感染させた、名前解決の参照先DNSサーバーを変更するトロイの木馬を使います。これによって参照先DNSを偽のDNSサーバーに変え、そのサーバーに偽情報を登録しておくことで、トロイの木馬に感染したPCを偽サイトに誘導します。
問題のISPはこの偽DNSサーバーを2005年から管理・運用しており、サーバー本体は米国の東海岸と西海岸のデータセンターに設置されています。また、数千ものドメイン名に対して偽情報が登録されており、現在も「拡充」し続けているそうです。
2)広告の不正差し替え
DNSを変更するトロイの木馬(+偽DNSサーバー) を使い、正規サイト上にある広告だけを別のものに差し替えて誘導するそうです。
感染した被害者が見るCNN(「A Trend Micro White Paper "A Cybercrime Hub" Aug. 2009」より転載) | 感染していないユーザが見るCNN(「A Trend Micro White Paper "A Cybercrime Hub" Aug. 2009」より転載) |
広告の差し替えは7月末時点で1日あたり、約180万件にも及んでいるようです。
3)Google検索結果のハイジャック
これも同じトロイの木馬を使い、偽のGoogleサーバーに誘導し、そこで入力された検索キーワードを本当のGoogleサーバーに渡します。そこで得られた本当の Googleによる検索結果をユーザーのブラウザ上に表示させつつ、実際には偽サイトに誘導するようにするわけです。
エストニアの悪徳ISPによるGoogle検索クエリーをハイジャックする方法(「A Trend Micro White Paper "A Cybercrime Hub" Aug. 2009」より転載) |
ハイジャックを行なうために、キャッシュサーバーと400以上にも及ぶプロクシサーバーを使って負荷分散を行なうなど、大規模なシステムが構築されており、Google側が気付きにくくなるように工夫されています。
4)偽アンチウイルスへのフィッシング
トロイの木馬に感染したPCで人気のあるポルノサイトにアクセスしようとすると「ウイルスに感染しているのでアクセスできません」というメッセージとともにアンチウイルスソフト(偽物)のダウンロードを促すメッセージが表示され、それを購入させるように誘導します。この購入サイトも問題の悪徳ISPが管理しています。
このように「何でもあり」の「やりたい放題」であったことがわかりますが、この事例は単なる遠い異国の出来事で済ませられる話ではありません。問題となっているISPはあくまで表面上は「合法な企業活動を行っている普通のISP」であり、それを信用して使っている「普通のユーザー」もいたのです。
契約しているISPが信用できるか否かをユーザーのレベルで判断するのは極めて難しいですが、この事例は「こういうこともあり得る」という教訓を示したものと言えるかもしれません。
◆TrendLabs Malware Blog(2009年8月26日付記事)
http://blog.trendmicro.com/investigations-on-a-cybercrime-hub-in-estonia/
◆A Trend Micro White Paper "A Cybercrime Hub" Aug. 2009
http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/a_cybercrime_hub.pdf
◆連載 海の向こうの“セキュリティ”第28回
http://internet.watch.impress.co.jp/static/column/security/2009/01/08/index.htm
●ソーシャルエンジニアリング攻撃のネタ、トップ10
ソーシャルエンジニアリング攻撃には「時事ネタ」が使われることが多いですが、今年の1月から7月の間にウイルスをばらまくのに使われたネタについて、Panda Securityが調査結果を発表しました。
・マイケル・ジャクソンの死 30%
・H1N1(新型インフルエンザ)ウイルス 27%
・オバマ大統領関連 11%
・パートナーのSMSをスパイするソフトウェア 9%
・独立記念日 8%
・ロイターニュース 5%
・オンラインショッピング割引券 4%
・バレンタインデイカード 2%
・ファラ・フォーセットの死 2%
・可愛い女の子のビデオへのリンク 1%
・その他 1%
いずれも「対米国人」としては「なるほど」と思えるネタですが、「パートナーのSMSをスパイするソフトウェア」というのには驚き、というよりも恐怖を感じますね(苦笑)。
◆Panda Securityによるセキュリティ情報(2009年8月15日付)
http://www.pandasecurity.com/emailhtml/oxygen/081509_ENG_in.htm
2009/9/1 11:00
-ページの先頭へ-