2008年08月08日
気になる情報流失
Naturum Island Resort という場所をご存じでしょうか?
私は基本的に日本人SIMには行かないし、フィッシング自体しませんので関係ないのですが、気になる記事を発見しまして、「コレってどうなの?」と感じたので、ちょっと注意を喚起するという意味で今回は書くことにしましょう。
気になる記事というのは以下。
http://internet.watch.impress.co.jp/cda/news/2008/08/06/20498.html
なんかこれがどうしたの?って、思われるかも知れませんが、ショッピングサイト「アウトドア&フィッシング ナチュラム」、には顧客マスターには、ショッピングサイトの「アウトドア&フィッシング ナチュラム」「ナチュラムモバイルショップ」のほか、ブログサービス「blog@naturum」の利用者情報が記録・・・・とあります。
blog@naturumとは以下。敢えてSSはとってません。リンクを開くと「あ、」と思うでしょう。
http://blog.naturum.ne.jp/
どうでしょう?右隅のバナー・・・・見覚えありませんか?
もう一度記事の内容をピックアップすると、
”ミネルヴァ・ホールディングスによれば、7月9日にクレジットカード会社からカード情報流出の可能性があるとして調査依頼があり、7月10日にセキュリティ専門会社による調査を開始。外部からの不正アクセスの痕跡が発見され、この時点では情報流出の有無は不明であったが、不正アクセスの可能性のある外部からのルートをすべて遮断するとともに、システム内のクレジットカード情報をすべて削除し、クレジット決済を一時休止した”
”その後、7月18日に個人情報を閲覧された痕跡が確認されたため、流出の可能性がある顧客の特定作業を開始。8月6日に、Webサイトで事態を公表するとともに、流出の可能性がある顧客に対してメールを配信したという。また、カード決済については、セキュリティ専門会社による診断により安全性が確認されたため、7月22日から再開した”
”不正アクセスの原因については、セキュリティ専門会社の分析の結果、犯人はメンテナンス用のサーバーに不正侵入し、このサーバーを経由してWebサーバーに不正アクセス用のプログラムを設置したと推定・・(以下略)・・2000年5月~2008年7月10日の間に買い物や会員登録などをした顧客の個人情報を収めた「顧客マスター」が閲覧され、個人情報が流出した可能性が高いとしている”
犯人が使った方法とは、SQLインジェクション攻撃。
SQLインジェクション攻撃とは?
===============================
インジェクション(injection)とは、内部に何かを注入することを意味する言葉。
プログラムがごく普通に受け取る入力データの中にセキュリティを侵害するようなコマンドを巧みに混入し、それをコンピュータ内部で機能させてしまう攻撃手口のことをいう。
インジェクション攻撃の中で最も代表的なものには、データベースに干渉して情報漏えい・情報改ざんを引き起こすSQLインジェクション攻撃がある。
攻撃者はまずWEBサイトにアクセスし、フォーム入力からデーターベースの解釈できるプログラム言語SQL文を用意し、ウェブから直接データーベースへアクセスを試みる。実際は商品テーブルを検索して商品コードから商品名と価格を得る方法などが業務で利用されるが、時にJAVAなどの言語が使われる。
問題はデーターベースアクセスに通常のWEBフォームを用意してしまうこと。PHPなどはWEBページそのものを改ざん出来るが、管理者の甘い考えで(利便性とセキュリティーバランスの考え方を甘く見ている)安易なSQL文を組み立ててデーターベースを構築。国内では多くのサイトが既によく知られたインターフェイスを使う簡素なシステムを好む傾向がるため、例えば背後にMySQLのような構文が既によく知られてしまっているDB(データーベース)を元にしている場合が多い。
例えばログインの場面で、ユーザからユーザIDとパスワードを受け取り、それらが正しいかどうか判定するコードの一部などは、2つの組み合わせの整合性しかチェックをしない。要するにプログラム上では変数の値をみているだけ。
これはたった一文で攻撃する事が出来ます^^;;
まず文字定数といういわば文字列の範囲を、越えてしまうかその外へ検索対象とする命令を出す(SQL構文では一文字のみ)。次に常にTRUEとなるよう、検索条件をねじ曲げる。要するに「この文字列はあろうが無かろうが常に正しい」ので、ブルートフォース攻撃宜しく総当りでユーザー名、パスワードを変数に代入するコードを関数として取り込んだプログラムコードを組み込めばいいということになります。
つまり本来ユーザー名、パスワード入力フォームを打込むところに、あり得ないSQL文を打込み、検索フォームとして利用しようという手口。しかも特定の文字列をコメントとして無視するコード(具体的には2文字のコード)があるので、ソートしてしまえば、4文字とか6文字とかパスワードとして利用される文字数がすぐにわかるというわけ・・。
攻撃者が与えた文字列がSQL文の文法要素として働くように仕向けるので、これはサーバー側から履歴を読んでもそれが管理者が行ったものなのか、攻撃者なのかはよくわからない。
手口が発覚するとすれば、WEBサーバーの情報を保持しているプロクシ及び、ウェブサーバーのおかしなアクセス記録だろうし、(フォームに打込んでる様子がおかしいといった感じ。何度も繰り返し打ち込みをしているとか・・)
この方法が怖いのは、管理者のパスワードも盗み出すことが出来るため、ヘタすれば管理者が席を離れた途端、バックドアを仕掛けサーバーを再起動させることが出来てしまう。(サーバーのログイン状況は攻撃者の手中にあるため、ログファイルを偽装工作されてしまう)こうなると攻撃の記録は消すことが出来る。
===============================
で、上記のサイトはこの攻撃に晒された形跡が見つかったというわけ。恐らく犯人は特定できないでしょうね。ミネルヴァ・ホールディングスでは、事態を公表するとともに、事件の経緯や流出した可能性のあるデータの内容、事件に関するFAQを開設したほか、フリーダイヤルによる問い合わせ窓口を設置。ユーザーに対して説明を行うとともに、登録パスワードの変更を求めているそうです。
・・ココで言いたいのは、もしかしかしたらこのNaturum Island Resort というSL内ゲームで、このサイトを知った場合・・・考えたくありませんが「SLアカウントと同じパスワードを使っている」ことは考えられないでしょうか?しかし残念ながら関係サイト全てに注意を喚起していない点は気になります。無関係ではないのに・・・・・。
本来はこういう心配事は、サービス提供側が公の場でキチンと説明すべきですが、ココ→http://www.minerva-hd.com/faq_c_080806/index.htmlぐらいしかアナウンスされていません・・。
先方の対応がどうでアレ、結局”自己責任”でいわれれば立つ瀬がありませんよね?
ショッピングサイト構築というよくある民間のサービスの場合、私見ですが”信用できるのと実績とは無関係。問題は攻撃者へのサイトの耐性だ”とはよく言われるところです。
攻撃者の手口をよく知る管理者を配備する「国内WEBサービス企業」が一体どのくらいなのかは、私はこの問いに「・・・・・・・」という無言で応えるでしょう。その意味はユーザであるあなたが想像するしかありません。
最近よく「インターネットに匿名はない」とか報道されてますよね?
この報道、攻撃者は以下のように思っているでしょう。
その影で笑いながら「確かにそうだよね。それがそうじゃないって誰もがわかったら、俺等の商売あがったりだよ^^」と。
私もよくこの事は知っていますが、httpsから始るSSL通信は既にサーバー権限を奪取されていれば、なんのお役にも立ちません・・。リンデンはL$購入の際、サイトから購入する場合何故か2度情報入力を求めるというのは、(最初にログインするが、L$を買うとき、もう一度ログインし直すようになっている)とりもなおさずこの”攻撃者手口”をよく知っているからです。
以上ある事件からの話題でした^^
私は基本的に日本人SIMには行かないし、フィッシング自体しませんので関係ないのですが、気になる記事を発見しまして、「コレってどうなの?」と感じたので、ちょっと注意を喚起するという意味で今回は書くことにしましょう。
気になる記事というのは以下。
http://internet.watch.impress.co.jp/cda/news/2008/08/06/20498.html
なんかこれがどうしたの?って、思われるかも知れませんが、ショッピングサイト「アウトドア&フィッシング ナチュラム」、には顧客マスターには、ショッピングサイトの「アウトドア&フィッシング ナチュラム」「ナチュラムモバイルショップ」のほか、ブログサービス「blog@naturum」の利用者情報が記録・・・・とあります。
blog@naturumとは以下。敢えてSSはとってません。リンクを開くと「あ、」と思うでしょう。
http://blog.naturum.ne.jp/
どうでしょう?右隅のバナー・・・・見覚えありませんか?
もう一度記事の内容をピックアップすると、
”ミネルヴァ・ホールディングスによれば、7月9日にクレジットカード会社からカード情報流出の可能性があるとして調査依頼があり、7月10日にセキュリティ専門会社による調査を開始。外部からの不正アクセスの痕跡が発見され、この時点では情報流出の有無は不明であったが、不正アクセスの可能性のある外部からのルートをすべて遮断するとともに、システム内のクレジットカード情報をすべて削除し、クレジット決済を一時休止した”
”その後、7月18日に個人情報を閲覧された痕跡が確認されたため、流出の可能性がある顧客の特定作業を開始。8月6日に、Webサイトで事態を公表するとともに、流出の可能性がある顧客に対してメールを配信したという。また、カード決済については、セキュリティ専門会社による診断により安全性が確認されたため、7月22日から再開した”
”不正アクセスの原因については、セキュリティ専門会社の分析の結果、犯人はメンテナンス用のサーバーに不正侵入し、このサーバーを経由してWebサーバーに不正アクセス用のプログラムを設置したと推定・・(以下略)・・2000年5月~2008年7月10日の間に買い物や会員登録などをした顧客の個人情報を収めた「顧客マスター」が閲覧され、個人情報が流出した可能性が高いとしている”
犯人が使った方法とは、SQLインジェクション攻撃。
SQLインジェクション攻撃とは?
===============================
インジェクション(injection)とは、内部に何かを注入することを意味する言葉。
プログラムがごく普通に受け取る入力データの中にセキュリティを侵害するようなコマンドを巧みに混入し、それをコンピュータ内部で機能させてしまう攻撃手口のことをいう。
インジェクション攻撃の中で最も代表的なものには、データベースに干渉して情報漏えい・情報改ざんを引き起こすSQLインジェクション攻撃がある。
攻撃者はまずWEBサイトにアクセスし、フォーム入力からデーターベースの解釈できるプログラム言語SQL文を用意し、ウェブから直接データーベースへアクセスを試みる。実際は商品テーブルを検索して商品コードから商品名と価格を得る方法などが業務で利用されるが、時にJAVAなどの言語が使われる。
問題はデーターベースアクセスに通常のWEBフォームを用意してしまうこと。PHPなどはWEBページそのものを改ざん出来るが、管理者の甘い考えで(利便性とセキュリティーバランスの考え方を甘く見ている)安易なSQL文を組み立ててデーターベースを構築。国内では多くのサイトが既によく知られたインターフェイスを使う簡素なシステムを好む傾向がるため、例えば背後にMySQLのような構文が既によく知られてしまっているDB(データーベース)を元にしている場合が多い。
例えばログインの場面で、ユーザからユーザIDとパスワードを受け取り、それらが正しいかどうか判定するコードの一部などは、2つの組み合わせの整合性しかチェックをしない。要するにプログラム上では変数の値をみているだけ。
これはたった一文で攻撃する事が出来ます^^;;
まず文字定数といういわば文字列の範囲を、越えてしまうかその外へ検索対象とする命令を出す(SQL構文では一文字のみ)。次に常にTRUEとなるよう、検索条件をねじ曲げる。要するに「この文字列はあろうが無かろうが常に正しい」ので、ブルートフォース攻撃宜しく総当りでユーザー名、パスワードを変数に代入するコードを関数として取り込んだプログラムコードを組み込めばいいということになります。
つまり本来ユーザー名、パスワード入力フォームを打込むところに、あり得ないSQL文を打込み、検索フォームとして利用しようという手口。しかも特定の文字列をコメントとして無視するコード(具体的には2文字のコード)があるので、ソートしてしまえば、4文字とか6文字とかパスワードとして利用される文字数がすぐにわかるというわけ・・。
攻撃者が与えた文字列がSQL文の文法要素として働くように仕向けるので、これはサーバー側から履歴を読んでもそれが管理者が行ったものなのか、攻撃者なのかはよくわからない。
手口が発覚するとすれば、WEBサーバーの情報を保持しているプロクシ及び、ウェブサーバーのおかしなアクセス記録だろうし、(フォームに打込んでる様子がおかしいといった感じ。何度も繰り返し打ち込みをしているとか・・)
この方法が怖いのは、管理者のパスワードも盗み出すことが出来るため、ヘタすれば管理者が席を離れた途端、バックドアを仕掛けサーバーを再起動させることが出来てしまう。(サーバーのログイン状況は攻撃者の手中にあるため、ログファイルを偽装工作されてしまう)こうなると攻撃の記録は消すことが出来る。
===============================
で、上記のサイトはこの攻撃に晒された形跡が見つかったというわけ。恐らく犯人は特定できないでしょうね。ミネルヴァ・ホールディングスでは、事態を公表するとともに、事件の経緯や流出した可能性のあるデータの内容、事件に関するFAQを開設したほか、フリーダイヤルによる問い合わせ窓口を設置。ユーザーに対して説明を行うとともに、登録パスワードの変更を求めているそうです。
・・ココで言いたいのは、もしかしかしたらこのNaturum Island Resort というSL内ゲームで、このサイトを知った場合・・・考えたくありませんが「SLアカウントと同じパスワードを使っている」ことは考えられないでしょうか?しかし残念ながら関係サイト全てに注意を喚起していない点は気になります。無関係ではないのに・・・・・。
本来はこういう心配事は、サービス提供側が公の場でキチンと説明すべきですが、ココ→http://www.minerva-hd.com/faq_c_080806/index.htmlぐらいしかアナウンスされていません・・。
先方の対応がどうでアレ、結局”自己責任”でいわれれば立つ瀬がありませんよね?
ショッピングサイト構築というよくある民間のサービスの場合、私見ですが”信用できるのと実績とは無関係。問題は攻撃者へのサイトの耐性だ”とはよく言われるところです。
攻撃者の手口をよく知る管理者を配備する「国内WEBサービス企業」が一体どのくらいなのかは、私はこの問いに「・・・・・・・」という無言で応えるでしょう。その意味はユーザであるあなたが想像するしかありません。
最近よく「インターネットに匿名はない」とか報道されてますよね?
この報道、攻撃者は以下のように思っているでしょう。
その影で笑いながら「確かにそうだよね。それがそうじゃないって誰もがわかったら、俺等の商売あがったりだよ^^」と。
私もよくこの事は知っていますが、httpsから始るSSL通信は既にサーバー権限を奪取されていれば、なんのお役にも立ちません・・。リンデンはL$購入の際、サイトから購入する場合何故か2度情報入力を求めるというのは、(最初にログインするが、L$を買うとき、もう一度ログインし直すようになっている)とりもなおさずこの”攻撃者手口”をよく知っているからです。
以上ある事件からの話題でした^^
Posted by arado at 02:58│Comments(0)
│事件
