悪のニュース記事悪のニュース記事では、消費者問題、宗教問題、ネット事件に関する記事を収集しています。関連するニュースを見つけた方は、登録してください。 また、記事に対するコメントや追加情報を投稿することが出来ます。 |
2003年05月30日(金) 18時06分
さすらいのハッカー、ゴミ箱をあさって大手携帯会社の顧客データベースに侵入(WIRED)米シンギュラー・ワイヤレス社の携帯電話の利用者は、携帯をなくしたり壊したりしたときのために同社の保険に入ることはできるだろう。けれども、ハッカーが自分たちの個人情報にアクセスしないという保証はしてもらえないようだ。ハッカーの http://adrian.adrian.org/ エイドリアン・ラーモー氏は以前、米ニューヨーク・タイムズ社や米ヤフー社のシステムへの侵入に成功した経験を持っている。ラーモー氏は、シンギュラー社の顧客に保険を発行する企業が運営しているウェブサイトに、大きく開いたセキュリティーホールを発見した。このサイトにアクセスしたラーモー氏は、取り出す気さえあれば、百万件以上もの顧客記録を入手可能だったと述べている。 ラーモー氏によると先週末、サクラメントの大型ゴミ収集箱から無作為に見つけ出した情報を通じて、この問題を発見したという。このゴミ収集箱には、シンギュラー社の1店舗が、携帯電話を紛失した顧客による保険請求の記録を廃棄していた。紙屑に記載されていたURLを入力しただけで、ラーモー氏は http://www.lockline.com/ 米ロック\ライン社が運営している顧客用の保険請求ページにたどり着いた。ロック\ライン社は、保険請求管理サービスをシンギュラー社に提供している。 通常、このページは https://www.lockline.com/cingular/apprclaim/web_access_password.asp パスワード保護されたゲートウェイを通過したときにだけ到達できるようになっている。しかし有効なURLを入力しただけで、パスワード承認を全く必要とせずに、個人の請求ページへアクセス可能であることをラーモー氏は発見した。 各ページには、顧客の氏名、住所、電話番号に加えて、提出された保険請求の詳細も含まれていた。URLで、保険請求の識別番号(連番が割り当ててあった)を変えてみたところ、ラーモー氏は、ロック\ライン社を通じて処理されたシンギュラー社の保険請求履歴すべてにアクセスできた。1998年までさかのぼる、およそ250万件もの顧客請求だ。 ラーモー氏によると、今回のハッキング方法は、自身が2001年10月に米マイクロソフト社にセキュリティーホールを発見したときと類似したものだったという。マイクロソフト社は当時、あるユーザーが、正当なユーザー以外にはインターネット上で非公開になっている特定のURLに到達できた場合、そのユーザーが認証を受けており、すでにログインしているに違いないと想定するようにサーバーを設定していた。 これまでに行なった他のハッキングと同じように、ラーモー氏はこの行為から利益を得るつもりは全くないと語った。セキュリティー不具合を指摘しているだけだという。 ラーモー氏はこの問題を、『ワイアード・ニュース』に初めて明らかにした。本記事の記者がシンギュラー社に不具合を指摘したところ、同社とロック\ライン社は28日朝(米国時間)までに対処を完了し、セキュリティーホールを解消した。 シンギュラー社によると、ロック\ライン社はサイトにパスワード保護を導入すると同時に、万一サイトに不正侵入された場合でも、他の記録に容易にアクセスできないようにURLをスクランブル処理する「難読化テクニック」も導入しているという。 ロック\ライン社では、ハッキング行為があったことを認めている。しかし財務情報と社会保障番号はいっさい持ち出されていない、ロック\ライン社ではこれらの情報を保有さえしていないと指摘した。 「われわれのミスだ。当社の方針では、顧客情報を含んだ書類があるときはつねに、シュレッダーにかけると定めている。社員はこのトレーニングを受けている。しかし実行しなかったことになる。弁解の余地がない」とシンギュラー社は述べている。 顧客情報を共有する必要があり、しかも各企業によって情報を取り扱うプロセスが違う場合、外部業者との関係を管理する問題が生じるということを、今回のハッキング行為は浮き彫りにしている。シンギュラー社によると、同社は4万件近くの外部業者を雇っており、そのすべてを掌握するのは「骨の折れる」仕事だという。 セキュリティーサービス企業 http://www.guardent.com/ 米ガーデント社のジェリー・ブラディー最高技術責任者(CTO)によると、今回のシンギュラー社のような出来事は、それほど珍しくないという。 「これはふつう、データ構築に対する配慮をあまりせずに、やっつけ仕事的な生データを寄せ集めるために起きる。私企業だけでなく、政府のシステムでも日常茶飯事だ。外部委託業者が、企業と同じように機密データを取り扱うことを期待するのは無理だ。外部業者は、顧客を気遣う必要のあるような既得権益を持たないからだ」とブラディーCTOは語った。 外部業者への委託形態があるために、電子セキュリティーの弱点という宝の山が出現しつづけるとラーモー氏は指摘している。「企業が、自社の業務を外部に委託する度合いが強まるほど、セキュリティーの範囲がぼやけてくる」と述べたラーモー氏は、今回のケースについて、セキュリティーは「恐ろしいほどお粗末」だったと付け加えている。 ラーモー氏はこれまでに、シンギュラー社以外のハッキングにいくつも成功している。過去数年間にわたって、 http://www.hotwired.co.jp/news/news/culture/story/20020308204.html ニューヨーク・タイムズ社をハッキングして寄稿者の情報を含むデータベースにアクセス(日本語版記事)し、『ヤフー』のニュース記事を改変し、 http://www.hotwired.co.jp/news/news/technology/story/20030225301.html 米アメリカ・オンライン(AOL)社への侵入を繰り返した(日本語版記事)。各企業ではラーモー氏の提訴を考えたものの、セキュリティー専門家たちはラーモー氏の不具合を指摘する努力を賛美している。 22歳のラーモー氏は、特定の住所を持っていない。徒歩か、公共のバスを使って全国をさすらい歩いている。春と夏の間は普通、北カリフォルニアに滞在している。ごく最近まで、事務サービス・チェーン店『キンコーズ』に設置されているコンピューターを使ってハッキングを行なっていた。これを卒業したラーモー氏は、今では『スターバックス』の店で、『Wi-Fi』(ワイファイ)ワイヤレス・ネットワーク対応のノートパソコンを使ってハッキングをしている。 ラーモー氏にとって、今回のシンギュラー社の件には、実はもっと大きな問題があるという。 「もし、シンギュラー社が文書を廃棄せずにリサイクルしてさえいたなら、こんな事は起こらなかっただろうね」 [日本語版:湯田賢司/岩坂 彰]日本語版関連記事 ・ http://www.hotwired.co.jp/news/news/culture/story/20030512204.html 米で外国諜報活動偵察法に基づく不透明な捜査が急増 ・ http://www.hotwired.co.jp/news/news/culture/story/20030402207.html ハッカーが『アルジャジーラ』サイトの攻撃を批判 ・ http://www.hotwired.co.jp/news/news/technology/story/20030305302.html 『グーグル』検索を利用してデータベースを簡単にハッキング ・ http://www.hotwired.co.jp/news/news/technology/story/20030225301.html AOL、ハッカーたちはやりたい放題 ・ http://www.hotwired.co.jp/news/news/culture/story/20030124203.html ハッカーのミトニック氏、保護観察期間を終え8年ぶりのネットサーフィン ・ http://www.hotwired.co.jp/news/news/culture/story/20020308204.html 昼は企業ネットワークに、夜は廃屋に忍び込むホームレスハッカー WIRED NEWSのメール購読申込みは http://www.hotwired.co.jp/reception/index.html こちらへ (WIRED) |