編集部からのお知らせ
New! 記事まとめ「ISMAP-LIU」
話題の記事まとめ「通信障害と社会リスク」

ハッカーのGhostShell、3600万件のアカウント情報をリーク--システムが「貧弱に設定されている」ことへの抗議と主張 - (page 2)

Zack Whittaker (ZDNet.com) 翻訳校正: 編集部

2016-06-06 11:11

 GhostShellがリークした情報の中には、接続しているIPアドレス、デバイスの情報、位置情報データ、ブラウザの種類、(固有のデバイスを識別や追跡ができる)ユーザーエージェント、アカウントを作成した時期、ユーザーが最後にログインした時期などのメタデータも含まれていた。

 パスワードの多くはハッシュ化されソルトが加えられていた。だが、オンラインで提供されているツールを利用すると(すべてではないが)多くのパスワードのスクランブルを解除できた。

 データの一部の解読を手伝ってもらったCyber Wars News創業者であるセキュリティ研究者Lee Johnstone氏によると、「ハッシュされていないものよりもハッシュ化されたパスワードの方が多い」と述べた。

 ファイルを深いレベルまで調査したのち、Johnstone氏はキャッシュに62万6000件の固有の電子メールアドレスを発見した。この中には、.milアドレスが数十件含まれていたほか、米国土安全保障省、連邦捜査局(FBI)、連邦航空局(FAA)、内国歳入庁(IRS)、米海軍など1300件以上の.govアドレスも入っていた。さらには、大学などの.eduアドレスも7000件以上入っていた。多くが教育機関のスタッフのものと見られる。

 あるデータベースには、14万件のユニークな電子メールアドレスが含まれていた。GhostShellに聞いてみたところ、このデータベースは「米国の超大手企業のトップIT」の詳細が含まれていると教えてくれた。つまり、Apple、IBM、Microsoft、さらにはFBIなど連邦機関のシニアレベルのITスタッフのことである。

 このデータベースは、ニューヨーク州ロングアイランドに本拠地を置くホスティング企業Webairがホスティングしていた。Webairの代表者は安全ではないサーバをホスティングしていたことについて、以下のコメントを発表した。

 「問題のデータベースファイルはセルフマネージドサーバ上でホスティングされていたものだ。つまり、顧客が全体のインフラスタックに責任をもつことになり、これにはセキュリティ、データベース、OSも含まれる。顧客が保護されていないデータを公開ウェブサイトにアップロードした場合、それは顧客の責任となる。Webairは顧客の決定になんのコントロール権も持たない」。

 GhostShellは筆者に、「Webairを困らせようというわけではない」と述べる。「だが、古い企業で巨大な資本をもち、巨額を払う顧客を抱えているのなら、少なくとも保護しようとすべきだ」と続けた。

 今回のリークはダウンロード可能なキャッシュだけでも、2016年に入って最大級だ。だが、時間とリソースを考えると、規模はさらに大きいだろう。

 「最悪なのは、これは私が手をつけられるほんの一部にすぎないってことだ」とGhostShellは述べた。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]