多くのウェブサイトが「リークゲート」に関与、ハッカーが侵入プロセスを暴露

「リークゲート」はウェブサイトの危機からインターネット界の嵐へと発展し、2011年末にはネットユーザーの間で最も関心の高い話題の一つとなった。

これまでのところ、この嵐の影響を受けたウェブサイトには、CSDN、天亜コミュニティ、多湾、JD.com、当当、Alipay、さらには広東省出入国管理局の公式サイトなどが含まれています。さまざまなウェブサイトが説明を始めましたが、ネットユーザーは皆、自分の個人情報、社会生活、金融情報が白日の下に晒されることを心配しています。「パスワードを変更しましたか？」は、年末のネットユーザーの間で最も人気のある挨拶になりました。

Antiy LabのチーフテクニカルアーキテクトであるXiao Xinguang氏は、過去10年間、中国のインターネットはスピードに頼り、アプリケーション開発とセキュリティ開発が分離されてきたと述べた。これらの負債は将来的に埋め合わなければならないだろう。 「ユーザー情報販売」産業チェーンをいかにして断ち切るかも大きな問題だ。

ハッカーの「情報階層」

ソニーが昨年4月という早い時期に、ゲームネットワーク「プレイステーション（PSN）」がハッキングされ、名前、請求先住所、その他の関連情報を含む7,700万人のユーザーの情報が盗まれた可能性があると発表したことを覚えている人はほとんどいないだろう。アンティイの主任技術設計者、シャオ・シングアン氏はナンドゥの記者に対し、この一連のライブラリ流出は海外から始まったと語った。 「ゼロデイ脆弱性の存在と現在のアプリケーションの膨大な複雑さにより、現状ではウェブサイトアプリケーションが安全かどうかを判断することは困難であると言えます。」

一方で、サーバー上には補うことが難しい抜け穴があり、他方では、ユーザー獲得をめぐるインターネットアプリケーション開発者や各企業間の熾烈な市場競争がアカウント侵入の引き金になっていることがわかります。現在、中国にはアカウント侵入を専門とするハッカーが多数存在しており、その背後には...かつてユーザー情報を購入した開発者のシャオ・リン氏は、南都の記者に対し、最も一般的な状況は2つあると語った。1つは、ハッカーに類似のウェブサイトのデータベースに侵入させ、データベース情報に簡単な変更を加え、それを自分のウェブサイトにインポートすることで、ウェブサイトを模倣・盗用し、開発コストを大幅に削減すること。もう1つは、マーケティングの必要性から、主に電子商取引会社が使用するメールアドレス、携帯電話番号などの特定の個人情報を要求することである。 「これらの企業は、ユーザーが自らのユーザーニーズを提起し、交渉できる固定のQQグループやフォーラムを持っている」とシャオリン氏は記者団に語った。

昨日、南都の記者がいくつかの関連QQグループに入ろうとしたが、「相手側がメンバーとして参加することを拒否した」と知らされ、サークル内の状況がますます緊迫していることがわかった。その後、記者はハッカーと連絡を取り、ウェブサイトのデータベースへのハッキングの手順を彼から学んだ。ヤン氏は、一般的にハッカーはまず「データベースをドラッグ」してウェブサイトのアカウント情報を入手し、次に「データベースをクリーンアップ」して「データベースをクラッシュ」させ、情報を階層化して価値の高いターゲットを探すと述べた。 「まず選ばれるのは、仮想通貨のQQ番号、ゲームアカウント、アリペイアカウントなどです。次に、パスワードの習慣など、ユーザーの基本情報を保存し、他のウェブサイトに適用可能かどうかを確認します。その後、既製のメールアドレス、自宅住所、携帯電話番号などの情報がスパムやスパムSMS会社に転売されます。」ヤン氏は次のように述べた。「現在、インターネット企業はみな『オープン性』を主張し、同じアカウントを使用して複数のウェブサイトにログインすることを推奨していますが、これは『1つの番号で複数の用途』に相当し、アカウント情報はさらに危険です。」

スピードの余波

アンティイ研究所の主任技術設計者、シャオ・シングアン氏は、現在のネットワーク漏洩の根本的な原因は、基本的に過去10年間のインターネット開発ラッシュの後遺症であると述べた。 「インターネットはある程度のスピードで生き残っており、セキュリティをより考慮することは間違いなく開発の効率と進捗に影響を与え、ユーザーの操作体験にも影響を与える可能性があります。そのため、国内のアプリケーション開発はセキュリティ開発から分離されており、多くのセキュリティ負債を抱えています。しかし、今後10年間で、セキュリティはインターネット企業の生存の支点の1つとなり、これらの負債を徐々に埋め合わせる必要があります。」

Antiy Laboratory が実施した調査によると、国内のウェブサイトアカウント情報はプレーンテキストや標準 MD5 で保存されている割合が比較的高く、これらの方法は非科学的です。ハッカーのヤン氏は、パスワードを平文で保存することがユーザー情報漏洩の鍵だが、暗号化保存に標準のMD5を使用しても、レインボーテーブル衝突によって解読される可能性があると述べた。

Xiao Xinguang 氏は、ウェブサイトが全体的な権限とデータ アクセス戦略を開発し、アプリケーションとパッチをタイムリーにインストールし、アプリケーション コーディングの品質を向上させて SQL インジェクションに対する保護を強化し、アプリケーション サービスとデータベース サーバーを分離し、データベース サーバーをライブラリへのアクセスが必要なアプリケーションと管理者のみがアクセスできるように構成することを提案しました。 「ウェブサイトのセキュリティを強化するための戦略や方法は数多くあるが、その多くは高額な費用がかかり、ほとんどの国内ウェブサイトには負担できない」と肖新光氏は付け加えた。

この漏洩騒動で広く言及された「プレーンテキストストレージ」は、まさに運用の利便性とコスト削減のために初期の多くの商用ウェブサイトで採用されたストレージ方式でした。

工業情報化部は以前、この事件について通知を出し、ユーザー情報の盗難と漏洩を強く非難していた。工業情報化部は、直ちに緊急対策を発動し、関係の通信管理局、国家コンピュータネットワーク緊急対応技術処理調整センター（CNCERT）、ネットワークセキュリティ専門家、一部のインターネット企業を組織して事件の理解と検証を行い、事件の影響と被害を評価し、対応策を検討して提案すると述べた。肖新光氏は、現在インターネット上に出回っている漏洩情報の信憑性は依然として検証する必要があり、管理部門の統計に基づくべきだと指摘した。 「しかし、その中には信頼できない情報もあります。いわゆるデータベースの中には、P2Pスコアを不正に操作したり、自社のソフトウェアを宣伝したりするために使われる偽のデータベースもあります。」

南方都市報記者謝睿

原題: 複数のウェブサイトが「リークゲート」に陥り、ハッカーが侵入のプロセスを暴露

キーワード: 複数のウェブサイト、漏洩に関与、顧客、露出、ハッキング、1、ウェブマスター、ウェブサイトの宣伝、金儲け