Web屋のネタ帳

---

本編の前に、ご案内：
もっと短くてわかりやすい話をたのむ、という人は、 俺は悪くないYahooが悪いんだ返金しろ、とか言う人はこれを読んで胸に手を当ててよく考えてね をどうぞ。

---

今日は、パスワードを第三者に知られて結果的に金銭被害につながったお気の毒な方々のお話。

ヤフオク「ID乗っ取り」報道に反論、情報流出の事実はない (Internet Watch 2008/9)

「Yahoo!オークション」のIDとパスワードが盗まれ、偽ブランド品などの不正出品に悪用されているとした一部報道で、「Yahoo! JAPAN」からの情報流出を懸念する内容が報じられた件について、ヤフーは6日、「情報流出があるという事実はございません」と否定するコメントを発表した。

つれづれJUNK

乗っ取りに関してのyahooの回答は、読売新聞に対して”フィッシングの可能性も否定できない”と言っている。
朝日新聞には、”中国からＩＤやパスワードを当てずっぽうに打ち込まれ、解読されたとみられる手口が目立つ”と回答している。　(9/9　追記)　

朝日新聞のコメントに対して・・・・被害者は全員一発でミスなく乗っ取りされています。　参照1　参照2

そんなことがソフトで可能ですか？yahooさん、一発でミスなく他人のパスワードを解析できると証明してください。そんなことがもしできるならパスワードそのものの存在意義を否定してるってことですね！

山梨県／1496円 - ID乗っ取り被害回復ネットワーク

私は8月29日にyahooＩＤの乗っ取り被害に遭い、偽ブランド時計を多数出品されました。 ***には***会員料金、手数料の請求をされています。 オークションは入札、落札しかした事がなく、出品した事は一度もありません。

ＩＤとパスには関連性がなく簡単に推測されるようなパスではありません。長く複雑なパスです。ウイルス対策も行っています。 自宅のパソコンでしかログインしていませんし、ログアウトも常に行っていました。 ＩＤ、パス共に他人には知らせていません。管理には気をつけていたつもりでした。 第三者にパスワードが知られる原因に心当たりがありませんので、なぜこのような事になったのか不可解です。
ログイン履歴を見ますと、やはり不正アクセス、見知らぬIPのアクセスがあるのですが、一度でログインに成功しています。 パスを何度も試し何度目かでログイン出来るような場合は、ログイン履歴に失敗と表示されるはずなので これは、最初からパスを知っていたか、パスを知らなくてもログイン出来る仕組みがあるのか？と推測できるのではないでしょうか？
また、***側から漏れた可能性もあるのでないか、と思うのですが。

筆者注：文章の冒頭で「YahooIDの乗っ取りの被害」と書いているのに、なんでYahooのことを*** とつぶしているんだろう？笑

悪魔の証明

冒頭にあげたこちらの方ですが、なんというんでしょうか、もう少し冷静になったほうがよろしいかと。 「パスワードが漏れたに決まってるんだ！違うというなら証明しろ！」とでも言いたいのでしょうか。そうは直接は思ってないのでしょうが、でも結果的にはそれに近い。 それって悪魔証明ってやつでは？ 　例：「月の裏側には、ウサギが存在する。なぜなら月の裏側にウサギはいないという証拠がないからだ。」

やたらと悪魔証明を振りかざすユーザーを相手にしなかったり冷たくあしらうのも正しい企業姿勢のうちのひとつだよ。

「そもそもわたしが使っていたパスワードはそんな安易な文字列ではない！」

うん。そうでしょう。でもね、一般論として、多くの人は、いまどきYahoo提供のWebサイト／サービスだけを使っているということでもないだろう。そしてYahoo以外のサイトでは、たとえば

• ナチュラムという釣り道具屋のサイトでユーザーのIDとパスワードの平文が65万人分漏れてた件とか、
• サウンドハウスという楽器屋のサイトでやはり9万件ほどパスワードが平文で漏れてた件とか。

  「被害を隠すな」サウンドハウス社長が不正アクセス体験語る (2008/6)

  サウンドハウスによれば、攻撃者は、カード決済で使う本人認証システム「3Dセキュア」を導入しているゲームサイトにおいて、クレジットカード番号と、サウンドハウスのサイトのパスワードをマッチングさせて本人認証を通過。その後、金券や商品を購入してRMT（Real Money Trade）などのサイトで転売するなど、足が付かないかたちで換金していた。中島氏は「ここから先は推測」と前置きした上で、「金銭的被害者の大半は、サウンドハウスのパスワードとその他のパスワードを同一にしていた人」としている。

• 絵本ナビという絵本を売っている小さなサイトでは2万7千件。

  EhonNavi BLOG: 「不正アクセス発生に関する調査報告と情報漏えいのお詫び」に関するFAQ (2008/8)

  【Q15】
  漏えいしたデータでお客様にはどのような被害が想定されるのか？
  
  【A15】
  漏えいしたものはユーザーID（e-mailアドレス）とパスワードのみですので、「同じ組み合わせで他のサイトに登録されていれば、成りすまして利用される可能性」等が考えられます。
  
  筆者注：↑こう言っているということはパスワードは平文でありハッシュ化保存（後述）なんてやってなかったということだ。

• 1年も前に運用を停止したはずのペットショップのサイトがサーバーの電源は入れっぱなしだったがために18000件のIDとパスワードが流出。

  お客様の個人情報流出に関するお詫びとご報告(2008/9) （PDF形式。コピーここ）

  弊社が2004年１月から2007年5月まで運用しておりました、インターネットショッピングサイト『ドッグワンライフ』(URL:http://www.hot-star-dog.com/) において、6月21日に中国から不正アクセスがあり
  （中略）
  ※2007年6月以降もサーバーが稼動状態であった為、商品の販売終了後2007年6月以降にも、上記サイトに会員登録を頂きましたお客様も対象となります。
  
  個人情報項目は以下の内容となります。
  1.ログイン用ユーザーID
  2.ログイン用パスワード
  3.氏名 4.Eメールアドレス
  
  筆者注：パスワードが平文であったかどうかは文章からはわからないが、このお粗末さ加減からして平文であったと考えるのが妥当だろう。

• 化粧品会社のサイトがSQLインジェクション攻撃くらって2万件流出。

  オズ・インターナショナル、不正アクセスでカード情報大量流出の恐れ (Internet watch 2008/5)

  オズ・インターナショナルでは19日、クレジットカード情報が流出した可能性のある約2万人にメールで通知。今回の情報漏洩によってクレジットカードの不正使用が発生した場合は、すべて補償することなどを伝えた。

  不正アクセスに関するお詫びとお知らせ （オズインターナショナル 2008/5)

  5. サイト、携帯、その他で「同一パスワードを使用している人」は2重、3重のパスワード管理が無意味になりますので、出来るだけ早く全て違うパスワードに変更することをお勧め致します。
  
  筆者注：↑こう言っているということはやはりパスワードは平文のままだったということ。

• オンラインゲームサイトからの流出。「流出したIDによるデータ改ざんが確認されている」＝流出したパスワードは平文だったことはほぼ明白。

  オンラインゲームポータルに不正アクセス、個人情報14,362件流出 (Internet Watch 2008/1)

  流出した個人情報は14,362件（1月27日時点）で、アカウントID、パスワード、メールアドレス、年齢が含まれる。流出したIDを使用してゲームにハッキングし、アバターのデータを改竄するといった悪用も確認されており（以下略）

といった事例も最近もうめずらしくない。比較的有名なサイトから小さなサイトまで、いわゆる氷山の一角という奴だ。 以上を踏まえて、この記事を読んでいる読者全員に質問したい。

• 「いろんなWebサイト使ってるけど、パスワードはそれぞれ違うようにしてるよ。」
• 「Yahoo以外にもgmailとか楽天とか他にもいろいろなWebサイトでユーザー登録しているけど、パスワードは実は全部同じなんだよね。」

あなたは上のどっちに該当しますか？

なお、くれぐれも誤解しないでほしい。今回はYahooの認証用データベースサーバまたはそれに類するものがクラックされた確証はまったくどこにもない。 言いたいのは、違うWebサイト／サービスであってもパスワード（やID）は同じにしている人が多いという実態を逆手に取ったコンピュータ犯罪なんてどこででもありうるよ、ということだ。

ここまで言えば、ここ最近のYahooオークションで何が起きた（と推定しうる）のか、わかるよね。

それから、こうしてみるとみんなクレジットカード被害ばっかり気にしてる。 パスワードが流出したことによる二次被害に言及しているところやマスコミは意外と少ない不思議。 そしてなによりも、上に引用した情報流出元すべてでパスワードが平文で保存されていたこと自体を指弾する業界関係者や業界マスコミがほどんどいないということに、もう驚愕っていうか、絶望。

別なところでは、こんなことを言っている人もいる。↓

不可逆的な暗号化によるパスワードの管理ってなんのこと？

IDとパスワードが同じユーザーが被害に遭うケースも見られたってあるけど、どうしてIDとパスワードが同じだってわかったんだろう。被害にあった人に「IDとパスワードが同じでしたか?」とかいちいち聞いてるのかね? パスワードは不可逆的に暗号化してあるんだもんね。
Manu-'s diary(2008-09-10)

ここで、「わかりやすいパスワードを使用されている方々へのパスワード変更の案内」と、角カッコが付いているので気になる。すべてのユーザに変更の案内や注意を出すんならわかるんだけど。どうやって"わかりやすいパスワードを使用"しているユーザがわかるんだろうか。"パスワードは不可逆的に暗号化"してあるんでは? とか思ってしまうのだが、自分の理解または認識誤りであろうか。
Manu-'s diary(2008-09-10)

はい。認識誤ってますよ。

ここでいう「不可逆的な暗号化」っていうのは、専門数学用語でいうと「一方向性関数」の部類に入る（らしい）。業界ではハッシュ関数とかハッシュ値とか言う。 とにかく、ハッシュ関数の一種であるmd5（イマドキMD5もないだろSHAにしろとか、SALTもちゃんと使えといった話はさておき）を使うと、 「abcd123」という文字列は「79cfeb94595de33b3326c06ab1c7dbda」になる。

「abcd123」から「79cfeb94595de33b3326c06ab1c7dbda」を算出するのは簡単だが、 「79cfeb94595de33b3326c06ab1c7dbda」しかわからない状態で「abcd123」を割り出すのはものすごく難しい。だから一方向性と呼ばれる。

ユーザーデータベースの「パスワード」の欄には「79cfeb94595de33b3326c06ab1c7dbda」という値が入っているだけで、「abcd123」という文字は影も形も無い。これによって管理者でも本当のパスワードはわからないというセキュリティ上望ましい状態が実現する。 （そういう管理をしていないサイトも多いという話はこのまえした。）

パスワードで認証する処理においては、ユーザーが入力した値＝abcd123＝をそのハッシュ関数に通して 「79cfeb94595de33b3326c06ab1c7dbda」という値を得て、それがデータベース上に保存されているものと一致するかどうかで判断しているわけだ。

以上をふまえれば、

1. どうやって"わかりやすいパスワードを使用"しているユーザがわかるんだろうか。
2. IDとパスワードが同じユーザーが被害に遭うケースも見られたってあるけど、どうしてIDとパスワードが同じだってわかったんだろう。

という問題は簡単だ。問１は、わかりやすいパスワード＝12345とかabcdefgとか＝を、そのサイトで使っている一定のハッシュ関数にとおして、その結果値でユーザーデータベース上を検索すれば、パスワードが12345、abcdefgであるユーザーをあぶりだせる。あとは「わかりやすいパスワード」のバリエーションの問題でしかない。

実際にそういうソフトも（アングラなものではなく）存在するし、ユーザーに注意をうながす目的で実用されている。例えば大学なんかだと学生のアカウントのパスワードを定期的に走査して、安易なパスワードを見つけると自動的に警告するような仕組みは全くめずらしくない。やはり学生さんは安易なところあるしね。教育上必要なことだと思う。

余談だが、当時、筆者の友人が熱帯魚を飼うのが趣味で、自分のアカウントのパスワードを「cichlid」にしておいたら、バッチリひっかかって呼び出しをくらっていた。（笑） 辞書に載っているような単語ももちろん「わかりやすいパスワード」としての走査対象なのである。

問２は問1と同じ。「わかりやすいパスワード」のバリエーションに「ID文字列そのもの」を含めるだけのことだ。

そう、難しくない。だからこそ筆者はためしたことがある。

安易なパスワードを設定している人は100人に1人はいる。

数万人程度のユーザーを抱えるとあるサイト。好きなIDとパスワードを設定できる、よくあるサイトだ。もちろんパスワードはハッシュ値だけを保存している、当時としてはセキュリティの考え方がしっかりしたサイトだった（と思う）。そのサイトではIDとパスワードを同じにすることもできないようになっていた。

そこを使って、実験してみた。例えば「yamada」というユーザーがいたら、 「yamada89」「0xyamada」といったふうに、 自分のIDの前後に、0-9a-zA-Z!$()/.,（その他記号含め）のうちの任意の1文字または2文字を追加しただけのパスワードを設定しているユーザーはどれくらいいるのだろう？という実験である。いちいち画面からformに入力するのではなく直接データベースをさわれる環境だったので、作業は簡単だった。

結果：全ユーザーのうちの0.51%がヒット。

つまり1000人いたら5人は、そういう安易なパスワードを使っているアホが確実にいるということだ。 これに、さっきの「cichlid」みたいな辞書にのっている単語を使っているケースも加えれば1%近くになるだろう。 自動化された総当り攻撃をする側にとっては十分なヒット率である。 こういう人がいつなんどき第三者による乗っ取り被害を受けたとしても同情する気はまったくしない。

なお、どこのサイトの話かなんて口が避けても言うつもりはないし、 そのサイトの責任者の許可のもとに（というか要請を受けて）やった実験だし、 少なくとももう何年も前の話である、ということだけはお断りしておく。

結論

1. 中途半端な情報リテラシーで妙な信憑性をかもしだすだけのうわさ話を流すのはやめましょう。 引っ込みつかなくならない程度にしておかないと、ただのクレーマーと大差なくなる。
2. そんなことやってる暇があったらとにかくまともなパスワードを設定しましょう。 まともなパスワードであっても、複数個所で同じパスワードを1年以上にわたって使ってる場合はとっとと変更しましょう（←ココ！ぎくっとなった人多いはずだ！笑）
3. そもそも、同じパスワードを複数のサービスで使いまわす（心あたりある人多いでしょ）という行為自体が、 「パスワードを第三者に教えてはいけません」という常識的ルールに反していることに気がついていますか？ そんなこといったって、、、といっても、こういう事態に至っては「そんなこと」ではないでしょう。ええ。
4. ゴシップ週刊誌はもちろんのこと、朝日だろうと読売だろうと新聞に書いてあることなんて大してあてにはならない。紙面では文字数の制約があることもそうだし、 こと話が技術がらみになると話が違ったりトンチンカンだったりするのは今の新聞屋にはじまったことではないから。→パラボラアンテナがあれば自由にインターネットに接続できる？ (2007/9)
5. Webサイト上でサービスを提供する側も、 「ユーザーのパスワードはウチの管理者でもわからないようになっているんです！」と 胸を張っていえるようにしておくべきです。（この点はYahooはもともとそうなっているようだ）
   • パスワードの危機(その１) − きっかけ (2004/2)
   • パスワードの危機(その２) − あるべき姿 (2004/2)
   • パスワードの危機(その３) − 楽天の場合 (2004/2)
   • パスワードの危機(その４) − SSL催眠術 (2004/2)
   • パスワードの危機(その５) − アマゾンの場合 (2004/3)
6. 自分が被害をこうむったサービスの提供元それ自体での事故／故意／犯罪行為によってパスワードを流出させてるに決まってるんだ！という決めつけは身勝手であり、真面目にやっているWebサイトとその中の人に対してとても失礼であり、迷惑である。

see also:

• メールアドレスが漏洩してると決めつける迷惑な人々 (2006/7)
• パスワードはサイバースペースの「実印」 セキュリティー-西本逸郎のセキュリティー表ウラ (日経IT-PLUS 2008/2)
• 第2回　現状編：あなたは大丈夫？パスワードの危険な実態：ITpro (2008/3)
• 結局、予想通りの展開（ヤフオクID乗っ取りの件） (2008/9)