ハッカー集団LulzSecは、SonyPictures.comのユーザー100万人の個人情報を侵害し、ソニーを貶めるという先日の約束を果たした。今回のソニーへのハッキングは、4月にソニー・コンピュータエンタテインメントのPlayStation NetworkとQriocity音楽サービスへのハッキングからようやく立ち直ったばかりのソニーにとって、新たな汚点となった。
リソース不足のため、LulzSecはソニーのサーバーに保存されていた保護されていないデータのごく一部しか公開できませんでした。しかし、他の犯罪組織がLulzSecの発見を悪用したかどうかは不明です。
以下は、LulzSec が Sownage (Sony + Ownage) と呼んでいる最新のハッキングの詳細です。
どのくらいのユーザーデータが漏洩したのでしょうか?
LulzSecは、ハッキングによって100万人のユーザーデータが漏洩したと発表している。しかし、ハッカーグループには漏洩したすべてのデータをダウンロードできるだけのコンピュータリソースがなかった。LulzSecのウェブサイトに掲載されている漏洩したユーザーデータの概要によると、ハッカーグループはSonyPictures.comに関連する51,000人以上のユーザーと、Sony BMG Netherlandsの600人のユーザーの個人情報を漏洩した。
どのようなデータが盗まれたのでしょうか?
LulzSecは、ユーザーアカウントに関連付けられたパスワード、メールアドレス、自宅住所、生年月日、そしてソニーのオプトインデータをすべて漏洩できたと述べています。漏洩した個人情報の中には、自宅の電話番号が含まれていたケースもありました。AP通信は木曜日、LulzSecのサンプルに含まれていた情報に基づき、複数のユーザーに電話で連絡を取りました。AP通信は、漏洩した情報の少なくとも一部は本物であることを確認しました。
LulzSec は、ユーザー情報以外にも、75,000 件の音楽引き換えコード、350 万件のデジタル音楽クーポン、および SonyPictures.com、Sony BMG Belgium、Sony BMG Netherlands のデータベースレイアウトも公開しました。
このデータは今どこにありますか?
LulzSecは、公開されたユーザーデータのサンプルを自社サイトMediafire.comとトレントファイルで公開しました。本稿執筆時点ではLulzSecのサイトはダウンしていましたが、Googleのキャッシュは利用可能で、MediaFireはLulzSecのアップロードファイルを削除しました。トレントファイルは広く入手可能です。
ハッキングされたらどうすればいいですか?
同僚のニック・メディアティが、データ侵害後にデータを最大限に保護するためのシンプルな5ステッププランを公開しました。Gmailをご利用の方は、さらなる保護のためにGmailの新しい2要素認証のご利用もご検討ください。
このハッキングはどのように行われたのでしょうか?
SQLインジェクションとは、ハッカーがWebフォームに、ユーザー名やパスワードなど、サイトが期待するデータではなく、データを要求するコードを入力することです。適切な対策を講じないと、コードが実行され、ハッカーが要求したデータベース情報をダウンロードできてしまいます。
公開されたデータは暗号化されましたか?
いいえ。LulzSecによると、ダウンロードしたデータはすべて暗号化されていなかったとのことです。ユーザーIDとパスワードはプレーンテキスト(「.txt」)ファイルとしてデータベースに保存されていました。
LulzSec とは誰ですか?
LulzSec(Lulz Security)は、最近発生した複数の企業サーバーへの侵入に関与したハッカーグループ(あるいは個人)です。このグループは、日本に拠点を置くソニーのサイト、Fox.com、そして最近ではPBSへのハッキングに関与しました。このハッキングでは、ラッパーの2Pac Shakurがまだ生きているという偽ニュースをPBS.orgに投稿するなど、様々なハッキング行為が行われました。
その名前が示すように、LulzSecは、犯罪目的でデータを盗むのではなく、セキュリティ上の欠陥を暴露することで企業を嘲笑し、恥をかかせることに興味があると主張しています。しかし、だからといって、オンラインのいたずら者が暴露したセキュリティ上の欠陥を悪用する者がいないわけではありません。
2011 年は悪意あるハッカーの年となるか?
Googleが中国のせいだと非難している最近のGmailハッキング、LulzSecへの侵入、そしてRSA SecurIDの侵害やソニーPSNのハッキングといった他の侵入事件の急増を考えると、確かにその通りのように思えます。しかし、これらの侵入の多くは、企業やユーザーが基本的なセキュリティ対策を怠った結果であることを忘れないでください。
Gmailのハッキングは、フィッシングサイトへの誘導が原因のようです。RSA Securityを展開するEMCは、「極めて高度なサイバー攻撃」の被害に遭ったと述べています。しかし、ハッカーがメールで悪意のあるExcel文書をダウンロードさせるという行為が、一体何が「極めて高度な」のでしょうか。悪意のあるメールのダウンロードは、現存するマルウェアの手口の中でも最も古いものの一つです。
ハッカーが企業サイトへの攻撃をますます積極的に行うようになっているため、企業はユーザーデータの保護を強化する必要があります。まずは、基本的なSQLインジェクション手法に注意し、個人情報が詰まったデータベースを暗号化し、可能な限りユーザーにHTTPS接続を提供することから始めるのが良いでしょう。これら3つの基本的な対策は、LulzSecのようなグループの悪意ある行為を阻止するのに大いに役立ちます。侵入を完全に防ぐことはできませんが、だからといって、最も基本的なセキュリティ対策さえ怠ってはなりません。
最新のテクノロジー ニュースと分析については、Twitter で Ian Paul (@ianpaul) および Today@PCWorld をフォローしてください。
