しばらく表舞台から姿を消していたハッカー集団、通称「Team GhostShell(ゴーストシェル)」が活動を再開し、膨大な数の Web サイトをハッキングしたと称してそのリストと思われるデータを公開し始めました。Team GhostShell の Twitter アカウントは、侵害したとされる Web サイトのリストを散発的に投稿しています。
報告によると、公開されているデータダンプでは侵入されたアカウントの情報が丸見えになっており、その数は数千件に及ぶといいます。ただし、これは少なめの見積もりであり、実際にはもっと多くなる可能性があります。ダンプによって漏えいする情報としては、電子メール、ユーザー名、住所、電話番号、Skype 名、生年月日、その他の個人情報が含まれているようです。また、ソルト処理とハッシュ化が行われているパスワードもあれば、ハッシュ化されているだけのパスワードもあると報告されていますが、一部のパスワードは明らかに平文で格納されています。案の定、データダンプからは、危険なパスワードとしておなじみの「123456」がいくつも見つかりました。
図. ハッキングした Web サイトのリストを投稿している Team GhostShell の Twitter アカウント
Team GhostShell が前回ニュースの見出しを飾ったのは 2012 年、さまざまな組織の Web サイトのデータベースをハッキングしたときのことでした。このときは、金融機関、政府機関、政治グループ、法執行機関、大学などが被害を受けています。
漏えいが始まった当初から、ハッキングされた Web サイトのリストはランダムのようであり、特定の国や業種が標的になっているという傾向は見られません。Team GhostShell がハッキングしているのは、脆弱性のある Web サイトのようです。
前回の手口をふまえると、Team GhostShell はデータベースに侵入するとき、SQL インジェクション攻撃と、設定の不完全な PHP スクリプトを利用している可能性があります。ただし、その確認はとれていません。前回データ漏えいがあった 2012 年のハッキングでは、SQL インジェクションツールとしてハッカーがよく使う SQLmap が使われたことがわかっています。
ベストプラクティス 今回のハッキング活動による影響が本当に明らかになるまでには、しばらく時間がかかります。当面の間は、以下のベストプラクティスに従うことをお勧めします。
個人ユーザーの場合:
データベース管理者の場合:
SQL インジェクションは、ハッカーが Web サイトに侵入するときに好んで使う手段のひとつです。管理者は、SQL インジェクション攻撃に対する防御の強化を最優先にしてください。SQL インジェクション攻撃を許してしまう確率を減らす対策をまとめたガイドが、OWASP で公開されています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】