大量メッシュ・インジェクションの気をつけろ!

Internetnews.comによると、大量メッシュ・インジェクション(Mass Meshing Injection)が蔓延しており、すでに世界中で3万サイトが被害を受けているとのことです。
インジェクションといえば、SQLインジェクションが良く知られています。SQLインジェクションはサイトの脆弱性を利用して、サイト側が意図しない別のSQL文を埋め込むことにより、個人情報などを不正に取得しようとするものです。このSQLインジェクションの場合、最終的には特定のドメイン下にあるサーバにルーティングされます。従って、そのドメインをブラックリストにのせて、アクセス拒否するようにしてしまえば、被害を防ぐことができます。

一方大量メッシュ・インジェクションは、単一サイトに狙いをつけるのではなく、複数のサイトを標的にし、まさにメッシュ(網)上に仕掛けていくものです。あるサイトをハッキングし、管理者権限を奪取。そのサイトから別のサイトを攻撃します。このような仕掛けを網の目のように張り巡らします。

この仕掛けの問題点は、

  • SQLインジェクションの場合、おおもとを辿れば、少数のドメインであったため、特定と対策が可能。大量メッシュ・インジェクションの場合、網の目状になっているため、「おおもと」は多数存在するため、特定が困難。
  • 特定できたとしても多数存在するため、ブラックリスト化が困難。

です。

さらにおおもととなっているサイトは、本来一般の「まとも」なサイトですが、そのようなサイトがブラックリストに入ってしまう恐れがあり、そうなると、ユーザがサイトにアクセスしようとすると、危険なサイトです、なんていう警告がでるようになる可能性もあります。

中小企業で、ECサイトへの依存度が大きいところは、ある日を境に突然アクセスがほとんどなくなる、などという事態に陥ることになるかもしれません。知らない間にブラックリストにのってしまったということです。

そんな事態を未然に防ぐためには、ということで、InformationWeekでは以下のことをやるべき、としています。

  • Do your homework on Web hosting providers, and choose a good one.(ホスティング業者について調べ、まともなものを選ぶ)
  • Run current antivirus software on all of your PCs, and especially those used to manage the website. (全てのPCを最新のアンチウィルスソフトでチェックする。Webサイトを管理するPCは特に入念に)
  • Stay on top of critical software patches(クリティカルなソフトウェアパッチは必ず適用)
  • Likewise, if you use turnkey, third-party website components such as shopping carts or content management systems, always keep them updated with the most current version–especially if they’re open source. (サーバ側でショッピングカーやCMSを使っているなら、それらも常に最新状態にする。オープンソース系は必須)
  • Scan your site’s custom code for vulnerabilities(サイト内のカスタムコードの脆弱性をチェックする)

同じく、もし被害にあってしまった場合は、以下の点を実行すべきとしています。

  • The first response for many SMBs–particularly those with limited internal IT staff–should be to call their Web hosting provider. (なにはともあれ、まずホスティング事業者に連絡)
  • Change your site’s admin password, but don’t do so immediately(まず使っているPCのアンチウィルスソフトウェアの最新版でスキャンした後、サイトの管理者パスワードを変更する。
  • Scan your systems–including files, databases, and config files–for backdoors.(
    システムのファイル、データベース、設定ファイルをスキャンし、バックドアーがないかどうかを確認する。この部分は外部のベンダーに頼んだ方がいいかもしれません)
  • Finally, when the site is clean and secure, begin the crucial process of restoring its traffic and reputation. (クリーンで安全であることが確認できた後、トラフィックと評判の回復に努める

あなたのパスワードはだいじょうぶ?

4桁のパスワードといえば、銀行のATM、ドアロック、携帯電話のロックなどあちらこちらで見かけるものです。私の最も身近なものでいえば、iPhoneのロック解除用パスコードです。
iPhoneのロック機能を有効にしておけば、仮に落としたとしても、有効なパスコードを入力しない限り、メールや住所録を見られないようにするものです。10回連続して間違えると、データそのものが消えてしまうという念の入れよう。
さて、この4桁のパスワードは通常0から9までの10種類の数字を4個組み合わせたもの。従って、パスワードの組み合わせは、10の4乗、すなわち10,000通り。
盗んだ、もしくは拾った人が10回でパスワードを当てられる確率は、10/10,000 = 0.1%なわけです。
ところがパスワードを覚えやすいものにするとその確率がぐーんと上がってしまいます。
iPhone4用アプリでBig Brother Camera Securityという、自分のiPhoneを誰か他人が操作しようとすると、その人の写真をこっそり撮影してしまうソフトウェアがあったのですが、実は持ち主本人が入力したパスコードをこっそり盗んでいて、良く使われているのパスコードの組み合わせを公表しています。やっていることはセキュリティを謳った盗みでとんでもない話なのです。(すでにApple Storeからは削除されているようです)

ただ、そこで公表されている内容は我々に注意を促してくれています。何しろ上位4種類の組み合わせが全体の10%を占めていたいうこと。つまりこの4つを試してみれば、10%の確率でヒットする、ということなのです。先ほどの0.1%じゃ絶望的ですが、盗みを働こうとしている人にとって10%ならやってみる価値あり、ということになるかもしれません。

ここに上がっているパスコードをご利用の方は即刻変更した方がよさそうです。iPhoneのパスコードに限りません。その他でも同様に4桁のパスワードを使用しているものではこれらの組み合わせは避けた方がいいでしょう。

第3位の2580はランダムなようで、実はキーパッドの真ん中を上から順に並べたもの。0852はその逆。
5683はLOVE。アメリカではポピュラーなのですが、キーパッドにアルファベットが書かれているので、数字を覚える代わりに単語に置き換えているもの。LOVEに相当するところの数字を拾っていくと5683になる。日本ではあまりないでしょうが。
最後の1998は、どうやら1998年生まれ、13歳ということのようです。
生まれた西暦年をパスワードにしている例も多いらしく、これは危険。だいたい年齢がわかれば、199x、198xなど、10種類の組み合わせでヒットできてしまう確率が高そうです。
生まれた年をパスワードにするのもやめた方がいいでしょうね。

トップ10

  1. 1234
  2. 0000
  3. 2580
  4. 1111
  5. 5555
  6. 5683
  7. 0852
  8. 2222
  9. 1212
  10. 1998

セキュリティの基本:暗証番号

クラウドを利用する前提としてセキュリティについては、いろいろ考えねばならないことがあります。今回は暗証番号について考えてみます。いくら堅牢なセキュリティでも運用が鍵を握っていることが多々あります。

最近はドアロックが暗証番号方式になっているところを見かけることがあります。4桁の数字を入力するとロックが解除されるというものです。

4桁の数字ですから、10の4乗通り、つまり1万通りの組み合わせです。1ヶ月に1度変更、5回連続で間違えた場合はロックする、などの設定になっていれば、相当安全なような気がします。

問題は運用です。1ヶ月に1度変更するのは、実はなかなか大変です。次々変わる暗証番号を覚えきれない。会社のどこかのドアなら、暗証番号が分からなくなった、間違った暗証番号を繰り返し入力してロックさせてしまったなど、たびたび大騒ぎになる可能性もあります。そこで暗証番号を覚えやすいものにします。例えば「9876」。次の月は「8765」、次は「7654」という具合。先頭の数字さえ覚えておけば、後は簡単という按配。

さて、こうなってしまうと、堅牢と思われたセキュリティも相当怪しい。1万通りが、10通りになってしまいます。5回まで間違えられると考えれば、この鍵を破れる確率は50%です。侵入を試みる輩なら、トライしてみる価値があるかも。

例えば退職者なら、連番であることを知っています。退職から1ヶ月後、暗証番号が変更になっていたとしても、頭の数字が1つ進んでいるだけ。これなら100発100中。簡単に突破できます。

円満退職したとしても、信頼できる人物であったとしても、だからといって油断してはいけません。せっかくの1万通りの組み合わせが実質1通りの組み合わせになってしまわないよう、最大の注意を払わねばなりません。