ディズニー / WIRED
ディズニーの新しいサブスクリプションサービスは、開始初日に1,000万人の顧客を獲得しました。『スター・ウォーズ』のスピンオフTV番組『マンダロリアン』といったオリジナル新番組の盛り上がりもあって、顧客はサービス開始を心待ちにしていました。しかし、一部の顧客はサービスにログインした途端、すぐにログアウトしてしまいました。
月曜日、ZDNetは、加入者からアカウントが大量にロックされたという苦情が寄せられていると報じた。数千件のアカウントがハッキングされた可能性があり、Disney+のログイン情報がオンラインで3ドル(2.30ポンド)という高額で販売されていた(報道によると最大11ドル(8.50ポンド)で、月額7ドル(5.40ポンド)を上回る)。「まだ半週間も経っていないのに、父のDisney+アカウントがもうハッキングされた。@disneyplus @Disney のセキュリティは素晴らしい。信じられない。#DisneyPlus」と、ある怒りのユーザーがツイートした。
しかし、このハッキングはどのように実行されたのでしょうか?使用された手法は「クレデンシャル・スタッフィング」と呼ばれ、昨年からかなり頻繁に利用されています。英国のデリバルー利用者は今年初めに標的となり、アカウントに不正な食品注文が行われた事例がありました。「ハッキング」と呼ぶことはできますが、侵害されたのはディズニーのサーバーではなく、その顧客でした。
「ハッカーは、過去に盗んだユーザー名とパスワードの組み合わせの膨大なリストを持っており、ハッキングツールを使ってそれらのユーザー名とパスワードの組み合わせを標的のウェブサイトと自動的に照合します」と、サイバーセキュリティ企業DynaRiskのCEO、アンドリュー・マーティン氏は語る。「何億ものアカウント情報をハッカーに投げつけ、どれが効果的かを見極めるのです。」
ユーザー名とパスワードの組み合わせは、攻撃者が企業のウェブアプリケーションの脆弱性を悪用してユーザーデータにアクセスしようとしたり、マルウェアを利用して企業に侵入してデータを盗み出そうとしたりするなど、以前のハッキングによって精査されたものです。
こうした情報が詰め込まれたデータベースはダークウェブ上で流通している。「フォーラムやIRC(インターネットリレーチャット)チャンネルなど、人々がデータを交換する共通の場所があります」と、ロンドン大学ロイヤル・ホロウェイ校で情報セキュリティの講師を務めるホルヘ・ブラスコ・アリス氏は言う。「場合によっては、アクセス料金を払う必要がないほど安価な場合もあります」。セキュリティの低いフォーラムやサイトを攻撃することは、こうしたデータベースに素早く流入する大量のデータを手に入れる最も効果的な方法となり得る。
もちろん、特定のサイトでユーザー名とパスワードの組み合わせを手動で確認するには、途方もない時間がかかります。ハッカーは代わりに、潜在的に有効な組み合わせの膨大なリストを自動的に網羅するツールを使用します。こうしたツールの一つがSentry MBAと呼ばれるソフトウェアです。「このツールは一種の基本ツールです」とマーティン氏は言います。「そしてハッカーは、攻撃対象となる特定のサイトごとにスクリプトを作成します。」
「彼らはサービスにログインし、ログインがどのように行われるか、つまりログイン先のバックウェブアプリケーションにどのような情報が渡されるかを観察します」とマーティン氏は語る。「そして、既知の『正当な』リクエストを、このハッキングツールで何度も使用できる形式に変換します。」こうすることで、盗んだログイン情報を自動でサービスに送り込むことができる。これらの設定スクリプト(ハッキング業界では「config」と略される)は、サイバー犯罪者によってゼロから作成される。
設定ファイルの作成には1~2日かかる場合もありますが、攻撃の実行はわずか数分で完了します。Disney+向けにカスタマイズされた設定ファイルは、11月12日にマーティン氏のチームによって初めて発見されました。「なんと、約1週間後には攻撃に成功し、すでに盗まれたアカウントの一部が共有されています」と彼は述べています。しかし、Disney+向けのハッキングツールの一部は、サービスの初期段階の試行以降、数ヶ月前からオンライン上に存在していました。
一部の設定では、スクリプトにパスワード変更を組み込むことも可能ですが、これはウェブサイトによって異なります。キャプチャが表示されるサイトは、意図的にこの可能性を防いでいます。Disney + の場合も同様だったかどうかは分かりません。
ダークウェブには膨大な量の漏洩した認証情報データベースが存在するため、新しいサービスがオンラインになることは、これらの情報を利用して手っ取り早く金儲けを試みるのに絶好の機会です。Disney+のアカウントへの侵入を狙う人々が、サービス開始初日から現れたのも不思議ではありません。
Disney+の事件では、クレデンシャルスタッフィングが悪用された可能性が高い。今年初め、Skyの英国テレビサービスが攻撃を受け、ユーザーはパスワードの更新を促された。また、過去17ヶ月間で、この手法を用いたゲームウェブサイトへのアクセス試行は120億回に上っている。
しかし、Disney+アカウントへの侵入方法は他にも存在します。キーロギング(コンピューターユーザーのキー入力をすべて記録し、ユーザーに知られずにパスワード情報を取得するマルウェア)や、機密情報を盗み出すように設計されたマルウェアなどが挙げられます。今回のケースは、大規模な攻撃でした。「マルウェアは、ユーザーのコンピューターを監視し、Disney+サービスへのログイン情報をキャプチャしてハッカーにアップロードする可能性があります。しかし、私たちの見解では、クレデンシャルスタッフィングのアプローチの方がやや可能性が高いと考えています」とマーティン氏は述べています。
このような方法でアカウントにアクセスしたハッカーが捕まる可能性はどれくらいあるのだろうか?「ハッカーがどれだけ巧みに痕跡を隠蔽しているか、そしてDisney+サービスとの間にどれだけ多くの仲介者を置いているかによって決まります」とマーティン氏は言う。ハッカーは、トラフィックの発信元を隠すために、プロキシや侵入されたホストを利用する可能性がある。こうした仲介者には、VPNなどのインターネット活動を隠蔽する正規の商用サービスや、仲介役を務めるハッキングされたコンピュータが含まれる。後者は、コンピュータを違法なインターネットトラフィック経路のノードに変換するウイルスによって生成される。「コンピュータが中継点として利用されている場合、この場合はDisneyのサーバーのログファイルには、あなたのIPアドレスが表示されることになります」とマーティン氏は言う。
「これらの接続試行が何件、何つの異なる IP アドレスから行われたかに応じて、その情報が法執行機関に提供され、法執行機関はインターネット サービス プロバイダーと協力して、それらの IP アドレスの背後に誰がいるのかを突き止めることができる」と彼は続ける。
しかし、ユーザーがサポートデスクに連絡してアカウントに再びログインできるようになるまでしかアクセスが許可されないのであれば、このような攻撃はハッカーにとって時間をかける価値があるのでしょうか? 実は、これはハッカーがこれらのアカウントのパスワードを変更した場合にのみ問題になるようです。しかし、必ずしもそうする必要はありません。
「アカウントは複数のデバイスで使用できるため、ハッカーはアカウントを1ドル程度で売却し、ユーザーがパスワードを変更するか、誰かが使っていることに気付くまでアカウントはそのまま残ります」とブラスコ・アリス氏は言う。「何も変更しない方がはるかにステルス性が高いのです」。AmazonやNetflixのサブスクリプションに登録している人が、自分のアカウントに密かに侵入者がいることに突然気づいたという事例もある。
このような攻撃から身を守る最も簡単な方法は、サイトごとに異なるパスワードを使用することです。パスワードマネージャーを使用して、強力で一意のパスワードを作成し、保存してください。また、「Have I Been Pwned?」などのサイトをチェックして、自分の情報が侵害されていないかどうかを確認することもできます。
この記事はWIRED UKで最初に公開されました。
