2005年03月01日(火) 18時00分
有名人の携帯電話データ流出:事業者側の対策不備が原因か(上)(WIRED)
昨年、携帯電話業界大手の
http://www.t-mobile.com/ 米TモバイルUSA社のサーバーが不法侵入を受け、顧客記録や政府の機密情報、個人の電子メールや有名人のプライベート写真が流出するという事件が起きた。この情報漏洩は、Tモバイル社が商用ソフトウェア・パッケージの既知のセキュリティーホールにパッチをあてていなかったために起きたということが、ワイアード・ニュースの取材により明らかになった。
ニコラス・ジェイコブセン被告(22歳)は、検察当局との司法取引(内容は機密扱いとされている)に応じ、2月15日(米国時間)にロサンゼルスの米連邦地方裁判所で起訴事実を認めている。同被告が犯行を認めたのは、保護されたコンピューターに故意に不正アクセスし、重大な損害を与えたという重罪1件についてだ。同被告によるTモバイル社のネットワークへのサイバー犯罪は2003年後半に始まり、昨年秋に逮捕されるまで続いていた。
ジェイコブセン被告による不正アクセスの被害者には、ヒルトンホテル・グループの令嬢でTモバイル社の『サイドキック』(Sidekick)のユーザー、パリス・ヒルトンさんも含まれていた。2月20日以降、
http://hotwired.goo.ne.jp/news/technology/story/20050224301.html 新たな不正アクセスにより、ヒルトンさんの個人的なファイルがインターネットに流出する事件が起きている(日本語版記事)が、この件とジェイコブセン被告の関連は確認されていない。
米司法省と米財務省秘密検察局(シークレット・サービス)は、ジェイコブセン被告の訴追手続きを異例の極秘態勢で進めており、Tモバイル社も、同被告によるシステムへの侵入経路について口を閉ざしている。だが、この訴訟に詳しい2つの情報源、およびジェイコブセン被告と親しいハッカー(同被告が盗んだファイルの一部をホスティングしていた)は、口を揃えて1つのセキュリティーホールを指摘している——
http://www.bea.com/framework.jsp?CNT=homepage_main.jsp&FP=/content 米BEAシステムズ社(本社カリフォルニア州サンノゼ)製のアプリケーション・サーバー『WebLogic Server 』(ウェブロジック・サーバー)に、2003年はじめに見つかっていた脆弱性だ。
セキュリティー企業の
http://www.spidynamics.com/ 米SPIダイナミクス社所属の研究者たちによって発見されたこのセキュリティーホールは、文書化されていない機能の形式を利用し、特別に作ったウェブリクエストをシステムに送ることにより、攻撃者はシステム上のいかなるファイルでも、読み取り・置き換えが可能になるというものだ。BEA社は2003年3月、この欠陥へのパッチを作成し、きわめて重大な脆弱性だとする勧告を公表していた。
同年7月には、ラスベガスで開催された『
http://www.blackhat.com/html/bh-link/briefings.html ブラック・ハット・ブリーフィングズ』会議のプレゼンテーションの1つで、このセキュリティーホールが注目を集めた。約1700人のコンピューター・セキュリティー専門家と企業幹部が参加した同会議で、SPIダイナミクス社の研究者がこの脆弱性の悪用法を事細かに説明したのだ。
SPIダイナミクス社を設立したキャレブ・サイマ最高技術責任者(CTO)によると、攻撃方法は「子どもでもできるくらい簡単だ」という。「特別なヘッダーをリクエストに加え、最後に特別なコマンドを付けておけば、それで事足りる」とサイマCTOは説明する。
上述の情報筋によると、ジェイコブセン被告は、BEA社の勧告によってWebLogicのセキュリティーホールの存在を知り、『Visual Basic』(ビジュアル・ベーシック)で20行の不正アクセス用コードを作成し、パッチを適用していない標的候補をインターネット上で探し回るようになったという。同被告は2003年10月までに、Tモバイル社という格好の標的を見つけ、この脆弱性を足がかりに同社のシステムへと侵入した。その後、顧客データベースに侵入する自分専用のフロントエンドを作成し、いつでも自由にアクセスできる環境を手に入れた。
ハッカー・コミュニティーの中でもジェイコブセン被告と親しいウィリアム・ジェノベーゼ被告によると、ジェイコブセン被告は「その後、自分用にカスタマイズしたインターフェースまで作成した」という。ちなみにジェノベーゼ被告も、ジェイコブセン被告の事件とは無関係だが、米マイクロソフト社のオペレーティングシステム(OS)『ウィンドウズ2000』および『ウィンドウズNT』のインターネットに流出したソースコードの一部を20ドルで販売しようとしたとして起訴されている。
(3/2に続く)
[日本語版:長谷 睦/高森郁哉]日本語版関連記事
・
http://hotwired.goo.ne.jp/news/technology/story/20050224301.html ヒルトンさんの携帯電話データ流出:データの入手方法は?
・
http://hotwired.goo.ne.jp/news/technology/story/20050215301.html 大丈夫か? VoIPのセキュリティー
・
http://hotwired.goo.ne.jp/news/culture/story/20050114203.html ハッカー、Tモバイルのネット侵入で政府の極秘情報も入手
・
http://hotwired.goo.ne.jp/news/technology/story/20040816302.html ブルートゥースの脆弱性、携帯電話に予想以上のリスク
・
http://hotwired.goo.ne.jp/news/technology/story/20040216301.html 『ウィンドウズ』ソースコードの一部がネットに流出
・
http://hotwired.goo.ne.jp/news/technology/story/20031112301.html 『N-Gage』のコード破られる?——ハッカーが犯行声明
・
http://hotwired.goo.ne.jp/news/technology/story/20030812302.html ハッカーがボイスメールを悪用、海外からコレクトコール
・
http://hotwired.goo.ne.jp/news/technology/story/20030729302.html ベライゾン・ワイヤレス、顧客情報流出につながる欠陥をようやく修正
WIRED NEWSのメール購読申込みは
http://hotwired.goo.ne.jp/reception/index.html こちらへ
(WIRED) - 3月1日18時0分更新
http://headlines.yahoo.co.jp/hl?a=20050301-00000001-wir-sci