韓国のハッキング被害から学ぶセキュリティ対策

 2月5日、韓国国内のネットオークションサイトにて、ハッキング被害により個人情報が流出したことが明らかとなりました。

 今回は、この事件を振り返り学ぶべき教訓について考えてみたいと思います。

■ネットオークション

 一般消費者の電子商取引市場は年々拡大しています。

 経済産業省の「平成18年度電子商取引に関する市場調査」(参考情報1.)によると、日本の消費者向け電子商取引の市場規模は、4兆3,910億円(前年比27.1%増)。この中で特に「消費者間電子商取引市場」いわゆる、ネットオークションと呼ばれる分野に注目が高まっていることが報告されています。

 インターネット利用者のうち31.1%はネットオークションの利用経験があると回答しています(総務省「平成18年度版 情報通信白書」:参考情報2.)。

図1 ネットオークションの利用状況(総務省「平成18年度版 情報通信白書」より抜粋)
図1 ネットオークションの利用状況(総務省「平成18年度版 情報通信白書」より抜粋)

 こうした背景には、ネットワークの進展とオークションサイト運営者の努力による、オンライン取引の信頼性向上が寄与しているものと推測されます。

■韓国ネットオークションサイトのハッキング被害

 韓国においても、日本同様にネットオークションが盛んです。1998年にサービスを開始した「株式会社オークション(www.auction.co.kr)」は、会員数1800万人を越えるオークションサイトです。

 今回、同サイトにて外部からのハッキング攻撃により、会員の個人情報と払い戻し情報の一部が流出したことが明らかとなっています。

図2 ハッキング被害を伝える「(株)オークション」のニュースリリース
図2 ハッキング被害を伝える「(株)オークション」のニュースリリース

■大規模なハッキングも発端は小さな脆弱箇所

 公式発表ではハッキングシナリオを公表していません。このため、シナリオの真偽は定かでありませんが、報道機関から漏れ伝わってくる攻撃シナリオは攻撃の原則に則したものでした。

 朝鮮日報(参考情報4.)によると、悪意あるユーザが「(株)オークション」の従業員に対し、ウイルスを含むスパムメールの大量配信を実施、開封を行った従業員からユーザID/パスワードを不正入手。それを切り口に個人情報を含むデータベースに対するハッキングが行われたと報じています。

図3 悪意あるメールを発端とするハッキング攻撃の概念図
図3 悪意あるメールを発端とするハッキング攻撃の概念図

 巧みな悪意あるユーザであれば、本来目的とする最重要機密情報(データベース)へアクセスするようなことはありません。組織に存在する小さな亀裂ともいえる脆弱箇所を探し、そこから本来の目的に向けて切り開いていきます。

 こうすることで、多段に構成された防御壁を突破し、侵入の痕跡を最小限にすることで、侵入の事実把握を困難なものにします。

 このシナリオではスパムメールによって、脆弱箇所の探索が行われています。従業員のリテラシーを信頼した対策に限界があることが見えてきます。

 また、別の報道(参考情報6.)では、「SQLインジェクション」の可能性も報じられています。同攻撃手法は2005年に日本国内においても大きな個人情報漏洩被害が報告されています。情報処理推進機構が発表する「情報セキュリティ白書 2006年度版」(参考情報5.)において、2005年 セキュリティ10大脅威の第1位として報告されています。日本国内の開発関係者にとっても、その対策に苦慮されている攻撃手法なのではないでしょうか。

 「SQLインジェクション」はデータベースと連携するウェブアプリケーションからの命令文において、組み立て方法に十分な考慮がなされていれば防ぐことのできる攻撃手法です。このシナリオも開発工程における小さな考慮不足から大規模なハッキングに至ったといえるのではないでしょうか。

■心配される二次被害

 公式発表によれば、クレジットカード情報、パスワード情報は安全に保護されているとされています。氏名、住民登録番号、メンバーID、住所、電子メール、電話番号といった個人情報が流出の被害対象とされています。

 大規模な個人漏洩被害が発生した場合、心配されるのが二次被害です。直接的に金銭につながる情報が流出していないとしても、悪意あるユーザは大量に得た個人情報を悪用し、次のようなことを試みます。

攻撃手法

詳細

JOEアカウントの特定、侵入

「JOEアカウント」とは、ユーザ名とパスワードが一致しているアカウントを指す用語です。昨今のWEBサービスではアカウント作成時にパスワードの強度を確認し、JOEアカウントのような脆弱な登録をブロックしているケースもあります。しかしながら、そうしたチェックが行われていないところでは、いまだ脆弱なアカウントが氾濫しているのが実情です。

辞書攻撃

ランダムに並べられた数字やアルファベットからなるパスワードを記憶するのは、難しいものです。このため、意味ある情報を組み合わせてパスワードを作成することが多いです。今回漏洩被害が報告されている個人情報は組み合わせの基とする可能性の高い情報です。
悪意あるユーザの間では、辞書に載っている言葉を片っ端から試してパスワードを解析するソフトウェアが流通しています。
こうしたソフトウェアに与える辞書として、今回のハッキング攻撃で入手した個人情報を利用することにより、より高い確率でパスワード認証を突破することが可能となります。

特定したパスワードを使用し、他のサイトへの侵入

最近は至るところでパスワードの登録を求められます。何十ものサイトでログインの際に入力を求められるパスワードを使い回しているケースも考えられます。
こうした背景から、一つのサービスに対する被害を契機に、他のサービスに対する侵入被害に至る危険性も考えられます。

スパム配信名簿の作成

最近は、スパムメール対策のため複数の電子メールアドレスを使い分けているケースも見られます。そういった対策を講じている場合においても、今回のように金銭の受け取りが発生するサービスに登録してある電子メールアドレスは重要度の高いものと考えられます。
今回流出した情報から作成されるスパム配信名簿はスパム配信業者にとって価値の高いものになると考えられます。

■学ぶべき教訓とは

 今回のハッキング被害を通じて学ぶべき教訓とは何でしょうか。管理者向け、利用者向けそれぞれについて紹介させていただきます。

管理者向け

対策

期待される効果

組織における脅威の傾向を把握し、異常を早期に検出

異常を早期に検出するには、定常状態を把握しておく必要があります。セキュリティ対策製品による検出結果数の推移に注目することで傾向を知ることができます。

最小限の特権管理(Least Privilege administration)

これは、許可された作業を実行するために必要最小限の特権だけを各ユーザに与える管理手法です。特権を絞り込むことで、不正利用が起こりにくくなり、セキュリティコストの削減効果も期待できます。また、ウイルスがシステムに与える影響範囲の縮小効果も期待できます。

開発段間からのセキュリティ対策を実施

SQLインジェクションには、SQL文の組み立てにエスケープ処理を実装することが有効です。また、データベースが返答するエラーメッセージの出力を抑制することも予防策となります。これら対策を実施するには開発段階からセキュリティ対策を考慮する必要があります。

利用者への啓蒙活動

技術による対策が進んだと言え、利用者への啓蒙活動は軽視すべきではありません。利用者すべてが組織のセキュリティポリシーを共通認識とすべく、周知徹底する必要があります。

利用者向け

対策

期待される効果

安易なパスワードを使用しない

JOEアカウントや誕生日、電話番号、名前、英単語など意味ある言葉の組み合わせはパスワードとして避けてください。これにより、辞書攻撃に対する耐性を高めることができます。

パスワードの使い回しをしない

すべてのサービスが高いセキュリティレベルで保護されているとは限りません。使い回しをしている場合、万が一盗まれたり破られたりすると、すべてのサービスに危険を及ぼす可能性があります。サービス毎にパスワードを変えることで、被害を最小限にすることができます。

 強固なパスワードを複数生成することは、管理者、利用者共に難しい課題です。そこで最後に米ブログメディア「Lifehacker」、インターネット・セキュリティ・ナレッジに掲載されているテクニックを紹介したいと思います。

パスワードづくりの例

ベースパスワード + サービス名の最初の子音2つ + サービス名の最初の母音2つ

図4 パスワードづくりの例

 ベースとなる文字列を基に、対象となるサービスの一部を使って変形させます。このルールを使えば一つのベースパスワードを記憶することで、サービス毎にユニークなパスワードを生成することができます。

 このルールでは強固なベースパスワードを選択することが重要です。ベースパスワードを選ぶ方法を併せて紹介いたします。

ベースパスワードの作り方

  • 何らかの言い回しや歌の繰り返し部分など頭の5文字を使う。(例:「トレンドマイクロは1988年ロサンゼルスにて創業」→「T88LS」)
  • 覚えやすい言葉を選んだ後、キーボード上で指を一列上にずらして同じ語を入力する。(例:「VIRUS」→「F847W」)
  • 図5 ベースパスワードの作り方

     インターネットの世界に国境はありません。韓国で発生した被害が明日、日本で発生するかも知れません。今回の事件を振り返り、得られた教訓からセキュリティ対策を見直してみてはいかがでしょうか。


    * 参考情報1. 経済産業省:「「平成18年度電子商取引に関する市場調査」について
    * 参考情報2. 総務省:「情報通信白書平成18年版 HTML版

    * 参考情報3. 中央日報:「オークション、ハッキングで顧客情報流出」(2008年02月08日付け)
    * 参考情報4. 朝鮮日報:「人気サイトがハッキング被害…中国人の犯行か(上)」(2008年02月06日付け)
    * 参考情報5. 朝鮮日報:「人気サイトがハッキング被害…中国人の犯行か(下)」(2008年02月06日付け)
    * 参考情報6. Boannews:「」(2008年02月12日付け)

    * 参考情報7. 情報処理推進機構:「情報セキュリティ白書2006年度版のダウンロードページ

    * 参考情報8. インターネット・セキュリティ・ナレッジ:「わかりやすいパスワードは要注意!
    * 参考情報9. lifehacker:「Geek to Live: Choose (and remember) great passwords