中国インターネットにおける最大規模のユーザーデータ漏洩事件の調査

2011年12月21日、北京市望京区のホテルで開催されていた「CSDNマイクロサミット」は、CSDN社長の江涛氏の突然の退席により中断された。

冒頭の挨拶を終えた直後、江涛の携帯電話が突然鳴った。緊急電話に出た江涛は厳粛な表情でその場から「逃げ」、電話の向こうの従業員の言葉がまだ耳に残っていた。「江さん、ウェブサイトの600万人以上の登録ユーザーの情報がハッカーによって漏洩されました！」

現実の現場とは真逆の仮想ネットワークの世界では、CSDNのウェブサイトに登録された600万件以上のメールアカウントとそれに対応する平文のパスワードデータベースが公開されました。これは最も深刻なことではありません。CSDNが漏洩した600万件のパスワードは、世間の非難の的となっていますが、これはほんの一滴に過ぎません。NetEase、Renren、Tianya、Mop、Duowanなどの多くの人気ウェブサイトや、一部の機関ウェブサイトも「露出」しています。

それ以来、中国のインターネット史上、最も広範囲かつ最大規模で、最も有害な情報漏洩事件が勃発した。

風：漏洩の旋風

江涛氏は、2011年のクリスマスが中国のハッカーにとってカーニバルの日となり、その後に続いた出来事がインターネット界にとって悪夢となるとは予想していなかった。

12月21日、360 Security GuardsはWeiboで、ハッカーがCSDNウェブサイトのユーザーデータベースをオンラインで公開したと発表しました。これには、600万件を超えるプレーンテキストの登録済みメールアカウントとパスワードが含まれています。プログラマー（ソフトウェアエンジニア）は注意を払い、できるだけ早くパスワードを変更するよう求められています。 CSDN は 1999 年 12 月に設立され、そのメンバーには国内の優秀なプログラマーの 90% 以上が含まれています。

実際、CSDN データの漏洩は、360 が公表する前から秘密ではなくなりました。 11月10日には早くも、Sinaのセキュリティディレクターが、ユーザー名とパスワードが漏洩したウェブサイトはCSDNだけではないことを明らかにした。

デイリー・エコノミック・ニュースの記者に話を聞いたセキュリティ関係者によると、新浪社はユーザーの既存のパスワードの保護を強化する方法を含め、この事件への対策についても社内で議論していたという。

12月4日、「Stinky Boy」というIDのユーザーが、専門セキュリティサイト「Wooyun」（wooyun.org）に、CSDN関連のデータベースを含む「中国の主要サイトデータベースが露出」という脆弱性の概要を投稿した。

ウーユンは微博で「いわゆる上場企業が、あなたが提出したデータを本当に保護していると思っているのか？中国の大手サイトのデータベースが漏洩している」と述べた。残念ながら、セキュリティ関係者の一部を除いて、このWeiboの投稿はユーザーからあまり注目を集めませんでした。

セキュリティ専門家の中には、自分たちが「打撃を受けた」と感じている人もいました。彼が登録・使用していた4つのCSDNアカウントのうち、2つのアカウント名はShandaでも登録・使用されており、パスワードもCSDNアカウントのものと同じでした。 Shanda Pass のログインデータから、4 つのアカウントすべてがログインを試みられ、そのうち 2 つが成功したことが判明しました。

国内IT技術コミュニティCSDNのトップである江涛氏は、事態の深刻さをはっきりと認識していた。同氏は直ちに謝罪声明を発表し、流出したCSDNアカウントデータは基本的に2010年9月以前のデータであり、流出の原因は調査中であると述べた。江涛氏はまた、Sina、NetEase、Tencentなどの大手インターネット企業にもできるだけ早く連絡し、ユーザーにできるだけ早くパスワードを変更するよう通知してほしいと望んだ。

12月22日、CSDNは杭州安衡情報技術有限公司を招いてセキュリティ監査を実施しました。情報によると、安衡情報はオリンピック委員会から「オリンピック情報セキュリティ保証優秀貢献賞」を受賞した。当時監査に参加した担当者によると、セキュリティ監査チームは外部からCSDNにハッカーの侵入メカニズムを模擬したテストを実施しました。テスト結果は心配なものでした。ユーザー名やパスワードなどを必要とせず、簡単にCSDNのバックグラウンドに入り、関連データを取得できました。 「現在、CSDNは関連する技術的な脆弱性を修正しました」と担当者は語った。

今回本当に厄介な問題は、これまでハッカーの間で常に流通していた内部データが、データパッケージのダウンロードを通じて一般大衆に入手されたことだ。

「一般ユーザーがこの情報を入手し、知り合いのパスワードを見つけたら、恐ろしいことになる」と江涛氏は語った。

結局、江涛の懸念は根拠のないものではなかった。公開データ パッケージのダウンロードにより、悪意のある人物が電子メール認証を通じて他の人のメールボックスにアクセスすることも可能になります。

12月28日、「极品良宗」というIDのユーザーが天界フォーラムにスクリーンショットを投稿し、公開データパケットを通じて女優董潔と深セン衛星テレビの従業員のメールアカウントにログインすることに成功したことを明らかにした。また、深セン衛星テレビの大晦日コンサートのスケジュールで、偶然、郎朗と韓庚の保険内容を知った。

雲：暗い雲は誰ですか？

この大規模な漏洩がなかったら、おそらくネットユーザーの大多数は「Wuyun」と呼ばれる脆弱性報告プラットフォームについてこれほど早く知ることはなかっただろう。

2011 年 12 月 4 日の最初の脆弱性報告以来、これまで知られていなかった Wuyun.com は、最近の一連の Web サイト漏洩により有名になりました。このウェブサイトは、CSDN、Tianya、Dangdang、JD.comなどのウェブサイトのセキュリティ上の脆弱性を相次いで暴露した。

これは、メーカーとセキュリティ研究者の間のセキュリティ問題のフィードバック プラットフォームであり、もともとセキュリティ業界で働く数人のボランティアによって開始され、構築されました。現在は非営利です。現在までに、500 名を超える研究者が 120 社を超える企業に対して 4,000 件近くのセキュリティ問題を提出しています。

Wuyunの責任者であるWooYun氏によると、Wuyunプラットフォームは当初、何人かの「ホワイトハット」（WhiteHat、つまり積極的かつ合法的なハッカーで、実生活ではセキュリティ専門家である人々 - 編集者注）を採用した。主なセキュリティ研究者には、インターネット企業のセキュリティエンジニア、セキュリティ企業のセキュリティ研究者、セキュリティ技術愛好家などが含まれる。彼らは発見したメーカーの脆弱性問題をWuyunプラットフォームに提出し、Wuyunプラットフォームはメーカーに通知する。Wuyunプラットフォームは、メーカーが脆弱性を確認して問題を修正するための1か月の時間を事前に設定し、1か月経ってもメーカーが問題を解決しない場合は、Wuyunプラットフォームが脆弱性情報を一般に発表する。

「我々はホワイトハットの初期の身元を確認するだけだが、それが反映されたメーカーの状況はメーカー自身によって確認される必要がある」とウーユン氏は述べた。

ウーユン氏は「日刊経済新聞」の記者に対し、メーカーはセキュリティ問題にあまり注意を払っておらず、一般的にはセキュリティ問題を無視するか、単に否定する態度であることがわかったと語った。このため、セキュリティ研究者がセキュリティ問題をメーカーに積極的に提出しなくなったことも増えている。

実際、この脆弱性情報の公開は諸刃の剣です。メーカーが十分な注意を払わず、ハッカーがそれを利用すれば、逆効果になる可能性があります。これはまた、Wuyunプラットフォームの情報公開に一定のリスクがあることを意味します。特にこの「漏洩スキャンダル」以降、Wuyunは頻繁に攻撃を仕掛け、意図せず論争の中心に立たされています。

WooYunは、既存のプラットフォームの運用が確かに完璧ではなかったことを認め、そのため12月30日にWuyun.comはシステムアップグレードのためにサイトを一時的に閉鎖すると発表した。

電気：金山フラッシュ

見せびらかすためだったのかもしれないし、衝動だったのかもしれないが、キングソフト・アンチウイルスのプロダクトマネージャーであるハン・ジェンチー氏にとって、漏洩元として外部から問いただされた経験は、生涯忘れられないものとなった。

韓正奇がユーザー情報漏洩の原因であると言うよりも、今日のセキュリティ担当者はセキュリティ業務の原則を再検討し、秘密のユーザーデータベースが白日の下にさらされないようにする方法を再考する必要があると言う方が適切です。

CSDNデータ漏洩事件が発生した日の午後3時、キングソフトの社内チャットグループのセキュリティエンジニアのグループは、Weiboで暴露されたばかりのCSDNデータベース漏洩について話し合っていた。

Han Zhengqi は、ネットワーク セキュリティ関連の QQ グループから CSDN ユーザー アカウントのパスワード ファイルをダウンロードしました。 QQグループ内のThunder専用ツールのダウンロードリンクをThunder Quick Transferのダウンロードリンクに変換し、友人のQQグループに送信しようとしたところ、事故が発生しました。

わずか数分のうちに、韓正奇氏の文書のスクリーンショットがWuyun.comに掲載された。これにより、韓正奇氏はインターネット上で「何千人もの人々から批判された」「ハッカー」となった。

その後、韓正奇氏は声明で「CSDNの漏洩したユーザーデータが意図せず拡散したことについて、迷惑をかけたネットユーザー全員に『申し訳ない』と言いたい。セキュリティベンダーの従業員として、ダウンロードしたユーザーデータを無意識にネット上で共有したことは悪いことだと自覚している。この事件は多くのネットユーザーをパニックに陥れ、私も非常に不安だった。私もこの事件の被害者だ」と述べた。

韓正奇氏は、問題に気付いた後、すぐにサンダー共有アドレスを削除したと述べた。タイムリーに削除されたため、アドレスをダウンロードしたのは数人の同僚のみで、データベース ファイルは漏洩していません。

「何か間違ったことをしたら、間違いを認めるべきです。しかし、インターネットでは私がXunleiでユーザーデータを最初に漏洩したと言われています。これは事実ではなく、誹謗中傷です。ダウンロード前にアドレスを共有していたからです。私をハッカーと呼ぶ人もいました。実際、私のアカウント名とパスワード、そして数人の同僚のアカウント名とパスワードが公開されました（メールのサフィックスはkingsoft.comです）。ハッカーは自分のアカウント名とパスワードを公開することはありません。Kingsoftを誹謗中傷する人もいました。これらは完全に下心であり、ある会社が舞台裏で推し進めているものです。」

上記の声明は、韓正奇がこの漏洩の主人公であるという外部の憶測を払拭するのに十分ではありませんが、奇妙なのは、韓正奇のインターネットID hzqedison を誰が特定したかということです。事実は、Han Zhengqi 氏が言ったように、誰かが Kingsoft の信用を落とそうとしているのか、それとも舞台裏でそれを推進している競合他社がいるのかはまだ不明です。

一方、キングソフトの内部関係者は日刊経済新聞の記者に対し、同社の競合企業360が同日12時33分に公式WeiboでCSDNデータベース漏洩のニュースを発表し、その後多くのネットユーザーがWeibo、フォーラム、QQグループでデータベースを拡散したと語った。

雷の章：雷のサスペンス

今回暴露されたユーザー情報はすでにハッカー界で秘密裏に出回っていた形跡があるが、なぜその謎の輪を突破して世間の注目を集めたのだろうか。現在まで、インターネット警察や関係部門の介入にもかかわらず、「リークゲート」事件の犯人は発見されていない。

劇的なのは、業界関係者の中には、この大規模な「データベース爆発」事件でサンダーが重要な役割を果たしたと考えている人もいることだ。

匿名を希望するセキュリティ専門家は、これまでハッカーが社内の電子メール通信を通じてデータベースをハッキングしていたが、一部の人々はThunderのオフラインダウンロードや高速チャネルを通じてデータベースをダウンロードし、これらのデータベースはThunderのサーバー上に保持されていたと考えている。他のユーザーがThunderを使ってダウンロードした際、「関連おすすめ」機能を通じてハッカーが内部通信に使用したデータをダウンロードした。このサイクルが続くと、さらに多くのデータベースが公開され、すべてのデータが世界に公開されることになります。

原因を突き止めるため、「日刊経済新聞」の記者はThunderダウンロードソフトウェアのバージョン7.2.4.3312をダウンロードし、それを使ってプログラミングプログラムをダウンロードした。ダウンロードの過程で、Xunlei は関連する推奨欄に「CSDN-Chinese IT Community-6 million.rar」のダウンロード アドレスを示しました。

問題をさらに説明すると、記者は流出したデータベースとはまったく関係のない「Blade & Soul」というクライアントゲームをダウンロードしようとした。驚いたことに、Thunderダウンロードの右側に「このリンクを使用したユーザーは次のリンクも使用しています」という関連推奨プロンプトが表示され、それは「280w-zur-uepR.kz」というファイルだった。ファイルをダウンロードしようとすると、流出したデータベースファイルとして表示され、ファイルの右側の関連推奨にはハッカーによって流出した別の29のデータベースファイルが表示されていた。

この現象は Thunder バージョン 7.1 では発生しないことに注意してください。 Daily Economic News の記者は他のダウンロード ツールも試しましたが、いずれも同様の推奨事項を提供しませんでした。

「Xunlei 7.2の推奨事項は、ハッカーの関係チェーンを明らかにするための効果的な証拠になる可能性がある」と匿名を希望したセキュリティ専門家は述べた。

上記の推測はウユン自身も認めた。 WooYun は、このデータは当初ハッカーによって非公開で通信され (最初の通信ツールは QQ メールボックスだった可能性がある)、その後 Thunder 7.2 によって誤って漏洩されたと考えています。ダウンロードに参加する人が増えるにつれて、多くのネットワーク ディスクがデータベース共有のキャリアになりました。

上記の問題に対して、Xunleiは「日刊経済新聞」への公式回答で、まず、XunleiはCSDNの漏洩データをブロックした最初のインターネット企業であると述べた。荀雷氏は、21日午後8時40分にCSDNが提供したリンクに基づいて、関連する漏洩データを直ちにブロックしたと述べた。 「Xunleiはサードパーティのダウンロードプラットフォームとして、CSDN漏洩事件によってネットユーザーと企業が被った損失を軽減するために最大限の努力をしてきました。」

Xunlei は、漏洩に関連するデータベースを自社のサーバーに保存することは決してないと述べた。QQMail はプライベートリンクであり、ユーザーは Xunlei の「関連推奨事項」から直接ダウンロードすることはできない。また、Thunder の「関連おすすめ」は最大 30 件までしか提供できず、ファイルはダウンロード数が一定のしきい値に達した場合にのみ関連おすすめに含まれることになります。Thunder の現在のユーザー カバレッジを考えると、狭い範囲で流通しているファイルがおすすめされる可能性は非常に低いと言えます。

しかし、記者はThunder 7.2を使って再び「Blade & Soul.rar」をダウンロードし、Thunderの右側にある関連推奨から34.69MBのデータパッケージ「280W-zur-uepR.kz」を見つけました。クリックしてダウンロードすると、Thunderは「5000万_51693.zip」、「300w-Yue.kz」、「350-E875131.kz」、「7k7k2000万_2047.rar」、「1000W+IS2_16436.rar」など29個のリンクを推奨しました。

さらに、Xunleiは、Xunleiの「関連推奨」は共有推奨ではない、つまり、ユーザーはこの機能を通じて積極的にファイルを共有することはできないと指摘した。この推奨方法は、ショッピング サイトの「この商品を購入したユーザーは、*** も購入しました」というプロンプトに似ています。推奨アルゴリズム自体は、人間の介入なしに機械アルゴリズムによって実行されます。

Daily Economic Newsの記者は、Xunleiは推奨アルゴリズムが機械アルゴリズムによって実行されていると主張しているものの、現在、問題を回避するために関連する推奨リンクを削除しようとしていることに気付きました。

「機械のアルゴリズムであり、人間の介入がないのに、なぜ関連リンクが消えたのか？」と、上記のセキュリティ専門家は再び疑問を投げかけた。

本稿執筆時点では、Xunlei 氏はこの問題について詳細な説明を行っていない。

雨

安全に関する質問

頻発する情報漏洩危機は中国のインターネットセキュリティに疑問を投げかけている。 2011 年 12 月 27 日、中国コンピュータ協会の青年コンピュータ科学技術フォーラム広州支部が「インターネット ユーザー データ漏洩事件に関する緊急会議」を開催しました。会議に出席した16人の専門家は全員一致で、今回の事件はこれまでで「中国のインターネット史上最大の情報漏洩」であると認めた。

専門家らは工業情報化部と公安部が率先して特別調査チームを設置し、事件を調査し、調査結果を公表するよう求めた。彼らは、個人の権利と利益を保護するために、政府がユーザー情報と個人のプライバシーを規制する法律や規則をできるだけ早く制定すべきだと提案した。

「日経経済報」によると、早くも2007年に公安部、国家安全局、国家暗号管理局、国務院情報弁公室が共同で「情報セキュリティレベル保護管理措置」を策定した。しかし、この基準は一部の大規模ウェブサイトにのみ実装されており、中小規模のウェブサイトには必須ではない。

業界の専門家は、データベース情報の頻繁な漏洩により、既存のインターネット認証メカニズムが徐々に弱体化していると考えています。現在のインターネット認証は電子メール認証が基本です。電子メールはさまざまな企業やインターネット企業でユーザーを識別するために使用されています。しかし、近年のハッカーによる度重なる「洗礼」により、大規模なユーザーベースを持つ国内のインターネット企業のサイトが陥落した可能性があります。

外部にとってさらに心配なのは、ユーザーデータベースが盗まれたことを知っていても、ほとんどの企業が自社の利益のために沈黙を守ることです。直前には、フォーラム、BBS、SNS、電子商取引など、各Webサイトがセキュリティに費やすIT支出が非常に少ないという報道がありました。

ある証券会社のTMT調査部門の調査データによると、現在、中国のインターネット企業による情報セキュリティ支出はIT支出全体の1％未満である一方、セキュリティ要件が比較的高い金融業界では10％を占めている。欧米のインターネット企業のセキュリティ支出は一般的に8％から10％を占めています。

インターネットセキュリティへの「限定的な」投資について、テンセントの共同CTOである熊明華氏は「日刊経済新聞」の記者に対し、テンセントには現在2つの独立したセキュリティチームがあり、1つはテンセントのイントラネットのセキュリティシステムの維持を担当し、もう1つは外部ネットワークを担当していると語った。

記者によると、数年前、テンセントは金銭目的でユーザーのパスワードを盗んだハッカー集団の攻撃を受けたという。その後、テンセントと関係部門は犯罪者に対する集中的な取り締まりを開始し、十数人が有罪判決を受けた。

滕明華氏によれば、テンセントはその後3年をかけてセキュリティシステム部門を根本から再構築したという。

WooYun は、中国のインターネットは急速な発展期にあり、セキュリティとユーザー エクスペリエンスの間に矛盾が生じていると考えています。ユーザーにとって、複雑なパスワードは確かに安全ですが、ユーザー エクスペリエンスに深刻な影響を与えます。

CSDNのJiang Tao氏は、アカウントを盗む最も一般的な方法は、他のウェブサイトから盗んだパスワードデータベースを使用して大手ウェブサイトにログインしようとすることだと指摘した。

360のネットワークセキュリティ専門家、Shi Xiaohong氏は、さまざまなハッカー組織が取引や共有を通じてさまざまなウェブサイトのパスワードライブラリを集約し、非常に大規模なものを形成し、これらのハッカーのパスワードライブラリを「アカウントウォッシュ」を専門とする犯罪者に卸売りしていると述べた。

Shi Xiaohong 氏によると、「アカウントウォッシャー」は一般的に、有名企業の勤務先メールアドレスなど、登録済みの貴重なメールアドレスをスクリーニングし、そのメールアドレスから重要なビジネス情報を盗み、さらにソーシャルエンジニアリングの手段を使って詐欺行為を働くという。

さらに、ハッカーはパスワードライブラリを使用して、オンライン決済プラットフォームでバッチトランザクションを自動的に開始します。漏洩したユーザーの登録メールアドレスとパスワードがオンライン決済アカウントのトランザクションパスワードと同じ場合、決済アカウントの残高が転送されます。

被害はそれだけでは終わらない。石暁紅氏は、ハッカーがパスワードライブラリを利用してQQやMSNなどのチャットソフトウェアのアカウントにログインしようとしたり、友人に金銭を要求する詐欺メッセージを送ったり、Weiboなどのソーシャルネットワーキングサイトにログインしようとしたりすることで、ファンを増やすためにお金を払ったり、広告情報を投稿したり、詐欺リンクをフィッシングしたりするなど、さまざまな利益を得る手段を生み出していると指摘した。

韓国では以前、前例のない情報漏洩事件も起きた。3大ポータルサイトの一つであるネイトとソーシャルネットワーキングサイト「サイバーネット」がハッカーの攻撃を受け、3500万人のユーザー情報が流出した。

IT専門家のホン・ボ氏は、2007年からオンライン実名制を導入してきた韓国が、「パスワード危機」に直面して原点に戻り、実名制を廃止することを選んだと考えている。これは、現在インターネットの実名制を積極的に推進している中国政府にとって、新たな発見となるかもしれない。実名制のメリットは現時点では明らかではないが、リスクは膨大である。現在のインターネット技術アーキテクチャではセキュリティの保証が難しいため、政府は実名制を再検討する必要がある。

原題：中国インターネット上で最大規模のユーザーデータ漏洩事件の調査

キーワード: 中国、インターネット、大規模、ユーザー、データ、漏洩、事件、全容、調査、ウェブマスター、ウェブサイト、ウェブサイトの宣伝、金儲け