これまで知られていなかったデータ漏洩がリサーチツールによって発見される

2017.12.29

セキュリティ研究者は時折、「なぜこれまで誰もこの事に気付かなかったのだろう」と不思議に思うような発見をすることがあります。


そうした発見に与えられる賞がもしあったら、今年はカリフォルニア大学サンディエゴ校 (UCSD) のエンジニアチームが開発したデータ漏洩早期警告ツール「Tripwire」が間違いなく候補になるでしょう。


Tripwire は実環境でのテスト(リンク先:英語)で未知のデータ漏洩や未公開のデータ漏洩を数多く検出しただけではありません。UCSD のチームは、Tripwire を使用することで企業・組織がデータ漏洩に気付いたり、盗まれたデータがダークウェブに現れたりするかなり前の段階で多くのデータ漏洩を検出できると考えています。


出来過ぎた話だと思われるかもしれませんが、推測の力を活用すれば可能です。


認証情報を盗み、解読したサイバー犯罪者がまず行うのは、さまざまなサイトで認証情報を試してみることです。中でもターゲットになるのが、ユーザーのオンライン ID の基盤である電子メールサービスです。


たとえば、攻撃者は小規模なサイトから盗んだパスワードを、より価値の高い大規模なサイト (Gmail など) への攻撃に使用します。なぜなら、ユーザーはパスワードを使い回す (再利用する) ことが少なくないからです。


これまでの数多くのインシデントからも分かるように、これは漏洩したデータを最大限に活用できる効果的な方法です。


UCSD のチームは、2,302 件のオンライン組織それぞれに複数のハニーポットアカウントを作成し、調査に協力してくれたメールプロバイダーの異なる電子メールアドレスに各アカウントを関連付ければ、再利用攻撃が起きていることを検出できると推測しました。


ハニーポットアカウントのデータが漏洩すれば、盗まれた認証情報を攻撃者が使用してメールアドレスにアクセスしたことが分かります。


同チームは次のように説明しています。


(引用文日本語訳) このアプローチでは、数多くのインターネットサイトを効率的に監視できるうえに、誤検出が発生しません。ただし、電子メールプロバイダー自体のセキュリティが侵害されていないことが前提です。


そして、この方法は成功しました。


2017 年 2 月までの 9 か月間に 19 件のテストサイトでデータ漏洩が発生し、パスワードが再利用されました。そのうちの 1 件は、4,500 万件のユーザーアカウントを擁する「有名なアメリカのスタートアップ企業」でした。


16 件はこれまで知られていなかったデータ漏洩でしたが、その理由はデータ漏洩の事実を秘密にしていたか、データ漏洩が発生したことを知らなかったかのいずれかです。


さらに前述のユーザー数 4,500万人のサイトを含む 3 件では、これまで確認されていなかったデータ漏洩を示す微かな兆候がありました (1 件は調査期間中に確認がとれました)。


研究チームは、他のサイトよりもパスワードのセキュリティが強化されている一部のサイトについて調査するため、「簡単な」パスワード (辞書に掲載されている単語を含む 8 文字) のハニーポットアカウントと「難しい」パスワード (英数字、大文字小文字が混在している 10 文字) のハニーポットアカウントを登録しました。


こうすることで、Tripwire が特定のアカウントでデータ漏洩を検出した場合、パスワードの保護に使用されているセキュリティのレベルを推測することができます (つまり、難しいパスワードでデータ漏洩が発生した場合、パスワードが単純なハッシュまたは平文で保存されていた可能性があります)。


この方法に疑問を投げ掛けるとすれば、当該のテストサイト (アダルト、求人広告、ゲーム、壁紙、BitTorrent など) がインターネット全体を代表していると言えるのか、という点です。


しかし、それは的外れな批判です。なぜなら、データが漏洩したアカウントが無名企業のサイトのものであったとしても、ユーザーはそのパスワードを Gmail、Yahoo、Facebook のアカウントで使い回す可能性があるからです。


攻撃者が Tripwire のチェックをすり抜けることができるとすれば、どのような方法を用いるのでしょうか?


大手の電子メールプロバイダーに対してはパスワード再利用攻撃を試みない、あるいは、ハニーポットアカウントが無さそうなアカウント数の少ない電子メールプロバイダーを標的にする、という方法しかありません。


しかし、Tripwire の開発者が認めているように、Tripwire にとって最大の難関は、データ漏洩があったプロバイダーにその事実を認めさせることかもしれません。


あまりにも多くプロバイダーがデータ漏洩を個人の問題だと見なし、データ漏洩に関心が無いか、知ろうとしません。この状況が変わるか政府が介入するまでの間、Tripwire には非常に大きな役割を果たさなくてはならないようです。


引用元

おすすめの記事はこちら