Gawker Mediaのデータ大流出 攻撃したのは「気に入らなかったから」?
「Gizmodo」などを擁し“ブログ帝国”として知られるGawker Mediaがクラッキングの被害に遭った。何者かがユーザーデータベースに侵入して、読者や従業員のアカウントなどのデータを流出させたもので、その数は130万件に及ぶという。クラッキングを実行した集団に取材したというメディアもあり、Gawker Mediaへの反感が動機だったと伝えている。
■Gizmode、Lifehackなどを擁するGawker Mediaで読者パスワードなどがハッキングされ大流出
Gawker Mediaは12月12日、「何者かがGawker Mediaのユーザーデータベースをハッキングした」と公表。登録ユーザーに対して、パスワードを変更するよう警告した。Gawker Mediaは、日本でも知られているGizmodo、Lifehackのほか、ゴシップブログのGawkerなど9種類のブログメディアを運営している。読者は、記事にコメントするためにユーザー名、電子メール、パスワードを登録しており、それがハッキングされたという。
ほどなく何者かが、BirTorrentサイトのThe Pirate Bay(TPB)で容量にして約500MBのファイルを公開した。中には約130万のアカウント情報、スタッフ間のIMメッセージ、Gawker Mediaが利用するコンテンツ管理システム(CMS)のソースコードなどが含まれていた。パスワードはDESで暗号化されていたが、すでに約20万件について解読が成功している模様という。
読者コメントのためのアカウント情報ならば、それほど大きな被害と思えないかもしれない。だが、Web 2.0とソーシャルメディアサービス(SNS)の普及の中、Gawker Mediaのブログは他のサービスとも連動している。Twitterは13日、この事件に関連すると思われるワーム攻撃が発生しているとして、ユーザーにパスワードの変更を呼びかけている。
また、流出したユーザー登録情報の組み合わせをオンラインバンキングなどで悪用される危険も、専門家らは指摘している。そうなれば、ユーザーの財産に被害が及ぶことになる。
■被害を最小限に防ぐためにユーザーができること~見破られにくいパスワードを使う
この事件をサイバーセキュリティの視点から分析するなら、ユーザーへの教訓は、「見破られにくいパスワードを使うこと」だろう。
Wall Street Journalが行った流出パスワードの分類によると、最も多かったのは「123456」で、調査した約19万のうち実に3000を超えていた。次が「password」、3番目が「12345678」で、この3つで圧倒的な数を占めている。
単純な数字のパスワードは、過去の流出事件でも必ず問題として挙がってきた。ほかには「lifehack」「qwerty」「abc123」「111111」などが多かった。Wall Street Journalは「GizmodoやLifehackerなどの読者は技術通と思われるのだが、パスワードでは予想しやすいものを使っている」とユーザーのセキュリティ意識の低さを指摘している。
PCWorldは、パスワード保護のベストプラクティスとして、(1)名前、誕生日、好きなスポーツチームなどは使わない、(2)キーボードの配列を利用したもの(qwerty、asdfgh、123456)は使わない、(3)辞書に載っている言葉をそのまま使わない、(4)辞書に載っている言葉をわかりやすく置き換えたもの(passwordのかわりにpassw0rdなど)も使わない、(5)大文字、小文字、数字、アスタリスク(*)などの記号を組み合わる、(6)自分が覚えやすい複雑な文章(例:it is a pain in the ass to come up with secure passwords)にして、その頭文字をとったもの(例:iiapit@2cuwSP)にする、――の6つを紹介している。
■動機は「Gawkerグループの傲慢さがきっかけ」
eConsultancyは、サイト運営者側の教訓を挙げている。すなわち、暗号化だけでは不十分であり、データ収集はリスクを伴い、オンラインで保存することはリスクをさらに高める、というものだ。たった1つの脆弱性がドアを開いてしまわないよう、攻撃されても、それを緩和できるような構造をあらゆる角度から持たせる全体的なアプローチが重要だと指摘する。
何より気になるのは、この攻撃の背景だ。実行犯とみられている「Gnosis」(霊的認識、覚知などの意味)というグループは、Gawker Mediaの発言が気に入らなかったから攻撃を行ったと伝えられている。Gnosisのメンバーという3人に匿名を条件にインタビューしたThe Next Web(TNW)によると、彼らは動機について「Gawkerグループの傲慢さがきっかけ」と語っている。
TPBに公開したファイルに、Gnosisは「Fuck you gawker, hows this for “script kids”?」と書いていることから、GuardianなどはGawkerが以前に4Chan(英語圏向けの掲示板)を“script kids”などとからかったことを関連づけている。一方、TNWのインタビューでは、Gnosisのメンバーは、4Chanと直接の関連を否定している。
■VisaCardやPayPalも攻撃される~単純な理由で致命的な攻撃を仕掛けられる
GnosisとGawker Media事件と時を同じくして、インターネットグループAnonymousが、VisaCardやPayPalを攻撃するという事件が起こっている。やはり、その企業が気に入らないという理由からだ。Anonymousの場合は、これらの企業が内部告発サイトのWikiLeaksに対するサービスを停止したことに怒って攻撃を実行したと伝えられている。
2つの事件は、クラッカーが非常に単純な動機で、企業やユーザーに致命的ともなりかねない攻撃を仕掛けることを示した。DailyTechは「Webはいまだに西部開拓期時代にある」と述べている。「気に入らない」「機嫌を損ねた」という理由で、いきなり撃たれるようなものだ。
「この環境では、誰かを侮辱すると、攻撃される可能性がある」「一部の人を怒らせると、脆弱性を攻撃するツールキットをばらまかれる」とDailyTechは警告している。WikiLeaks支持でVisaCardらを攻撃したAnoymousは、誰もが攻撃できるようツールキットを公開したといわれている。インターネットじゅうに攻撃の拡散が起こるのだ。
今のインターネット社会が、荒くれ者がのさばる場所だとすれば、いかにして、それを成熟した市民社会に高めてゆくかを考えねばならないだろう。