2003年08月12日(火) 14時50分

AOL、ハッカーたちはやりたい放題（WIRED）

本記事は「ハッカー」特集として再編集されたものです。初出は2003年2月25日です。

　ハッカーたちは、巧妙なトリックとプログラミングのテクニックを組み合わせ、米アメリカ・オンライン(AOL)社のセキュリティーを易々と突破してきた。3500万人のAOLユーザーの個人情報が危険にさらされている。

　最近も、AOL社の最新の顧客データベース・アプリケーション『マーリン』(Merlin)が、ハッカーに全面的なアクセスを許してしまった。セキュリティー保護のため、マーリンは同社の社内ネットワーク上でしか稼働しないが、知識のあるハッカーたちが侵入方法を見つけたのだ。

　ハッキングの手法は、IM(インスタント・メッセージ)でAOL従業員をだましてファイルを受信させたり、同社のファイル・ライブラリーに「トロイの木馬」をアップロードしたりするものだ。ユーザーがファイルを実行すると、トロイの木馬がインターネット・リレー・チャット・サーバーに接続する。ハッカーは、このサーバーからターゲットにしたマシンにコマンドを出し、社内ネットワークとマーリンに侵入できる。

　マーリンにアクセスするには、ユーザーIDと2つのパスワード、さらに『 http://www.rsasecurity.com/products/securid/ SecurID』コードが必要だ。しかし、AOL社の従業員用データベースに偽のセキュリティー更新情報を送りつける、入手したパスワードを交換する、IMもしくは電話による「ソーシャル・エンジニアリング」攻撃を行なう、などの方法ですべてが手に入るという。

　最初にこの方法を使ったのは、14歳の少年ハッカーだと言われている(この少年からコメントは取れなかった)。

　AOLでは最近そのほかにも、日本の http://aolmail.jp.aol.com/ ウェブメール・ポータルのセキュリティーホールが悪用され、誰でもパスワードが1つあれば、どのアカウントにでもログインできるようになったと伝えられている。この欠陥はその後、修復された。

　また、『AOLインスタント・メッセンジャー』(AIM)のスクリーンネームを盗めるセキュリティーホールが見つかったこともある。AOL社の従業員や幹部のスクリーンネームも盗むことができたという。

　最も危険なのは、ハッカーたちに人気のある『グラフィティー』(Graffiti)というスクリーンネームや、1つの単語でできた『スティーブ』などのスクリーンネームだ。また、セキュリティー上の問題を報告するために設定された『TOSGeneral』などの社内用アカウントも危険にさらされている。

　プログラム上のバグを利用するハッカーも多いが、ハッカーの間では、AOL社に電話すれば、もっと簡単にアクセスや情報を入手できることもよく知られている。

　これはいわゆる「ソーシャル・エンジニアリング」による方法で、AOL社のカスタマーサポート・センターに電話して、特定のユーザーのパスワードを変更するよう頼むという簡単なものだ。新しいパスワードをもらってログインすれば、そのアカウントに全面的にアクセスできる。

　『ダン』、『カムゼロ』(Cam0)というハンドルネームを持つ2人のハッカーに電話でインタビューしたところ、不明瞭な喋り方をすることでセキュリティー対策(クレジットカード番号の末尾4桁の照合など)を突破できると教えてくれた。

　『ハクロバティック』(hakrobatik)というハンドルネームの別のハッカーは、不明瞭な喋り方にもコツがあると話している。

　「顎の手術をしたばかりで話しづらいふりをする方法を、何度も使った。手元にあった情報はスクリーンネームだけだったが、『私が言ったことが聞き取れたかどうか、繰り返してもらえますか？』と頼んで、姓も名前も手に入れた。新しい情報が手に入るたびに電話をかけ直して、わかっている情報は聞き取れるように話し、わからない部分は不明瞭に話すやり方で、さらに情報を手に入れた」と『ハクロバティック』氏は言う。

　『ハクロバティック』氏によると、サービス担当者たちは彼に何度も言い直させようとするが、やがて苛立ってきて、結局はあきらめてパスワードを変更してしまうのだという。『ハクロバティック』氏はその後、スクリーンネームさえあればAOL社のどのアカウントにでもアクセスできることを証明してみせた。

　ハッカーの間では、インドやメキシコのユーザーサポートをターゲットにするのが一般的だ。こうした国のスタッフは、米国のスタッフに比べて経験が浅い上にトレーニングもずいぶん不足しているのだという。

　「要するに、AOL社の場合、電話をかけて相手を困らせれば、どんなアカウント情報でも引き出せる」と『ハクロバティック』氏。

　AOLの従業員の中には、最も古くからあるお決まりの手口にまんまと乗せられてしまった者もいる。男性であるカムゼロ氏は、「十代の女の子」を装ってAOL社の従業員とチャットし、偽の写真も送って、この従業員をすっかり夢中にさせた。AOL社でセキュリティーを担当するAOLオペレーションズ・セキュリティーのスタッフのふりをして、情報を引き出したハッカーもいる。さらにハッカーたちによると、不満がある従業員は社外の友だちの求めに応じて、惜し気もなくアカウント情報をくれるという。

　以前、『インサイドAOL』(Inside-AOL)という監視サイト(サイトはすでに消滅)を作ったことがある有名なハッカーのエイドリアン・ラーモー氏は、AOL社に対する最近の攻撃についてこう語る。「AOL社の歴史において前例がない事態だ。同社の社員教育は、オンラインでのやりとりで騙されないようにすることが中心になっていて、電話を使う手口に関する取り組みはほとんど行なわれていない」

　AOL社が、サイトで頻発するセキュリティー問題をユーザーに知られずにすんだのはなぜだろうか？ 「AOL社では時々、大きな問題が起こるが、いつも上手にそれを押さえ込んでいる」とラーモー氏。

　ラーモー氏によると、問題が表面化しないのは、AOL社がめったにハッカーを訴えないからだという。

　「AOL社は技術を強化して対応するか、そうでなければ侵入者を無視する傾向がある。AOL社へのハッキングで逮捕された者はないと言われている」とラーモー氏は語った。

　今回の件については何度もAOL社にコメントを求めたが、回答はなかった。

　「『AOL 8.0』のセキュリティーは非常に堅固だという宣伝をよく目にするが、自分のデータがどんなに危険にさらされているかを知ったら、誰も利用しないだろう」と『ダン』氏は言った。

[日本語版：喜多智栄子／鎌田真由子]

日本語版関連記事

・ http://www.hotwired.co.jp/news/news/business/story/20030217101.html 『SQLスラマー』の兆候を早期に察知していたシマンテック

・ http://www.hotwired.co.jp/news/news/business/story/20030205103.html AOL帝国衰退の兆しか？ 加入者数、初の減少

・ http://www.hotwired.co.jp/news/news/business/story/20030131104.html 合併が裏目に出たAOLタイムワーナー、驚異的な赤字額を計上

・ http://www.hotwired.co.jp/news/news/technology/story/20021211303.html 米政府審議会「ネットワークの複雑化で攻撃がますます容易に」

・ http://www.hotwired.co.jp/news/news/business/story/20021115102.html IMにも光る上司の目——AOLが法人向け新サービスを開始

・ http://www.hotwired.co.jp/news/news/culture/story/20021007203.html ハッカーのミトニック氏、「ソーシャル・エンジニアリング」の著書を出版


WIRED NEWSのメール購読申込みは http://www.hotwired.co.jp/reception/index.html こちらへ


（WIRED）

http://headlines.yahoo.co.jp/hl?a=20030812-00000001-wir-sci