◇
投稿者: b_8_sp 投稿日時: 2005/03/01 16:02 投稿番号: [184772 / 232612]
ハッカーたちは、巧妙なトリックとプログラミングのテクニックを組み合わせ、米アメリカ・オンライン(AOL)社のセキュリティーを易々と突破してきた。3500万人のAOLユーザーの個人情報が危険にさらされている。
最近も、AOL社の最新の顧客データベース・アプリケーション『マーリン』(Merlin)が、ハッカーに全面的なアクセスを許してしまった。セキュリティー保護のため、マーリンは同社の社内ネットワーク上でしか稼働しないが、知識のあるハッカーたちが侵入方法を見つけたのだ。
ハッキングの手法は、IM(インスタント・メッセージ)でAOL従業員をだましてファイルを受信させたり、同社のファイル・ライブラリーに「トロイの木馬」をアップロードしたりするものだ。ユーザーがファイルを実行すると、トロイの木馬がインターネット・リレー・チャット・サーバーに接続する。ハッカーは、このサーバーからターゲットにしたマシンにコマンドを出し、社内ネットワークとマーリンに侵入できる。
マーリンにアクセスするには、ユーザーIDと2つのパスワード、さらに『SecurID』コードが必要だ。しかし、AOL社の従業員用データベースに偽のセキュリティー更新情報を送りつける、入手したパスワードを交換する、IMもしくは電話による「ソーシャル・エンジニアリング」攻撃を行なう、などの方法ですべてが手に入るという。
最初にこの方法を使ったのは、14歳の少年ハッカーだと言われている(この少年からコメントは取れなかった)。
AOLでは最近そのほかにも、日本のウェブメール・ポータルのセキュリティーホールが悪用され、誰でもパスワードが1つあれば、どのアカウントにでもログインできるようになったと伝えられている。この欠陥はその後、修復された。
また、『AOLインスタント・メッセンジャー』(AIM)のスクリーンネームを盗めるセキュリティーホールが見つかったこともある。AOL社の従業員や幹部のスクリーンネームも盗むことができたという。
最も危険なのは、ハッカーたちに人気のある『グラフィティー』(Graffiti)というスクリーンネームや、1つの単語でできた『スティーブ』などのスクリーンネームだ。また、セキュリティー上の問題を報告するために設定された『TOSGeneral』などの社内用アカウントも危険にさらされている。
プログラム上のバグを利用するハッカーも多いが、ハッカーの間では、AOL社に電話すれば、もっと簡単にアクセスや情報を入手できることもよく知られている。
これはいわゆる「ソーシャル・エンジニアリング」による方法で、AOL社のカスタマーサポート・センターに電話して、特定のユーザーのパスワードを変更するよう頼むという簡単なものだ。新しいパスワードをもらってログインすれば、そのアカウントに全面的にアクセスできる。
『ダン』、『カムゼロ』(Cam0)というハンドルネームを持つ2人のハッカーに電話でインタビューしたところ、不明瞭な喋り方をすることでセキュリティー対策(クレジットカード番号の末尾4桁の照合など)を突破できると教えてくれた。
『ハクロバティック』(hakrobatik)というハンドルネームの別のハッカーは、不明瞭な喋り方にもコツがあると話している。
「顎の手術をしたばかりで話しづらいふりをする方法を、何度も使った。手元にあった情報はスクリーンネームだけだったが、『私が言ったことが聞き取れたかどうか、繰り返してもらえますか?』と頼んで、姓も名前も手に入れた。新しい情報が手に入るたびに電話をかけ直して、わかっている情報は聞き取れるように話し、わからない部分は不明瞭に話すやり方で、さらに情報を手に入れた」と『ハクロバティック』氏は言う。
『ハクロバティック』氏によると、サービス担当者たちは彼に何度も言い直させようとするが、やがて苛立ってきて、結局はあきらめてパスワードを変更してしまうのだという。『ハクロバティック』氏はその後、スクリーンネームさえあればAOL社のどのアカウントにでもアクセスできることを証明してみせた。
ハッカーの間では、インドやメキシコのユーザーサポートをターゲットにするのが一般的だ。こうした国のスタッフは、米国のスタッフに比べて経験が浅い上にトレーニングもずいぶん不足しているのだという。
「要するに、AOL社の場合、電話をかけて相手を困らせれば、どんなアカウント情報でも引き出せる」と『ハクロバティック』氏。
最近も、AOL社の最新の顧客データベース・アプリケーション『マーリン』(Merlin)が、ハッカーに全面的なアクセスを許してしまった。セキュリティー保護のため、マーリンは同社の社内ネットワーク上でしか稼働しないが、知識のあるハッカーたちが侵入方法を見つけたのだ。
ハッキングの手法は、IM(インスタント・メッセージ)でAOL従業員をだましてファイルを受信させたり、同社のファイル・ライブラリーに「トロイの木馬」をアップロードしたりするものだ。ユーザーがファイルを実行すると、トロイの木馬がインターネット・リレー・チャット・サーバーに接続する。ハッカーは、このサーバーからターゲットにしたマシンにコマンドを出し、社内ネットワークとマーリンに侵入できる。
マーリンにアクセスするには、ユーザーIDと2つのパスワード、さらに『SecurID』コードが必要だ。しかし、AOL社の従業員用データベースに偽のセキュリティー更新情報を送りつける、入手したパスワードを交換する、IMもしくは電話による「ソーシャル・エンジニアリング」攻撃を行なう、などの方法ですべてが手に入るという。
最初にこの方法を使ったのは、14歳の少年ハッカーだと言われている(この少年からコメントは取れなかった)。
AOLでは最近そのほかにも、日本のウェブメール・ポータルのセキュリティーホールが悪用され、誰でもパスワードが1つあれば、どのアカウントにでもログインできるようになったと伝えられている。この欠陥はその後、修復された。
また、『AOLインスタント・メッセンジャー』(AIM)のスクリーンネームを盗めるセキュリティーホールが見つかったこともある。AOL社の従業員や幹部のスクリーンネームも盗むことができたという。
最も危険なのは、ハッカーたちに人気のある『グラフィティー』(Graffiti)というスクリーンネームや、1つの単語でできた『スティーブ』などのスクリーンネームだ。また、セキュリティー上の問題を報告するために設定された『TOSGeneral』などの社内用アカウントも危険にさらされている。
プログラム上のバグを利用するハッカーも多いが、ハッカーの間では、AOL社に電話すれば、もっと簡単にアクセスや情報を入手できることもよく知られている。
これはいわゆる「ソーシャル・エンジニアリング」による方法で、AOL社のカスタマーサポート・センターに電話して、特定のユーザーのパスワードを変更するよう頼むという簡単なものだ。新しいパスワードをもらってログインすれば、そのアカウントに全面的にアクセスできる。
『ダン』、『カムゼロ』(Cam0)というハンドルネームを持つ2人のハッカーに電話でインタビューしたところ、不明瞭な喋り方をすることでセキュリティー対策(クレジットカード番号の末尾4桁の照合など)を突破できると教えてくれた。
『ハクロバティック』(hakrobatik)というハンドルネームの別のハッカーは、不明瞭な喋り方にもコツがあると話している。
「顎の手術をしたばかりで話しづらいふりをする方法を、何度も使った。手元にあった情報はスクリーンネームだけだったが、『私が言ったことが聞き取れたかどうか、繰り返してもらえますか?』と頼んで、姓も名前も手に入れた。新しい情報が手に入るたびに電話をかけ直して、わかっている情報は聞き取れるように話し、わからない部分は不明瞭に話すやり方で、さらに情報を手に入れた」と『ハクロバティック』氏は言う。
『ハクロバティック』氏によると、サービス担当者たちは彼に何度も言い直させようとするが、やがて苛立ってきて、結局はあきらめてパスワードを変更してしまうのだという。『ハクロバティック』氏はその後、スクリーンネームさえあればAOL社のどのアカウントにでもアクセスできることを証明してみせた。
ハッカーの間では、インドやメキシコのユーザーサポートをターゲットにするのが一般的だ。こうした国のスタッフは、米国のスタッフに比べて経験が浅い上にトレーニングもずいぶん不足しているのだという。
「要するに、AOL社の場合、電話をかけて相手を困らせれば、どんなアカウント情報でも引き出せる」と『ハクロバティック』氏。
これは メッセージ 184771 (b_8_sp さん)への返信です.