Gmailの成りすまし事件、傾向と対策 - otsune tumblr まとめサイト 画像保管庫Q

ockeghem:

池田信夫氏のGmailアカウントがハックされて、寸借詐欺メールが送信されたようです。

• Gmailの振り込め詐欺にご注意
• 池田信夫、自らのメールアカウントを乗っ取られ今日も見事な醜態を晒す

私の周囲でも、知人が同種の被害にあっていますので、他人事ではない気がします。池田氏が被害にあった原因は不明のようですが、このエントリではその原因を予想（妄想）し、対策について検討します。

池田氏の主張：twitter連携アプリからの漏洩

池田氏は自らのブログエントリで以下のように主張しています。

Gmailのパスワードを知らせたことはないのですが、ツイッターと共通にしていたため、「連携アプリ」を認証するときパスワードを入力します。これはシステム側に通知されないことになっていますが、悪意をもって偽装することは容易です。かなりあやしげなアプリも含めて20ぐらい使っていたので、そこから推測してGmailにログインされたおそれが強い。もちろんパスワードは変更し、アプリの許可はすべて取り消しましたが、これはツイッターのセキュリティホールなので改善を求めたい。

このブログの読者の多くはご存知だと思いますが、twitterの連携アプリはOAuthという認証（認可）プロトコルを採用しており、たとえ「あやしげなアプリ」であっても、twitterの連携アプリが利用者のパスワードを知ることはなく、ましてやパスワードが悪用されたり漏洩することはありません。

しかし、twitter連携アプリの「ふり」をする、あるいは正規のOAuthプロセスを踏まないで、フィッシング的な手法により利用者のパスワードを得ることは可能性があります。

以下、簡単にその手順を説明します。以下の説明ではtwilogの画面を用いますが、あくまで例でありtwilogに問題があるわけではありません。

まず、twilogからログインリンクをたどると以下の画面が表示されます。

注意書きを読んで、「twitterで認証」ボタンをクリックすると以下の画面に遷移します(*1)。

アドレスバーに表示されるURLのドメイン名が twitter.com であることを利用者は確認する必要があります。IDとパスワードを入力するページのドメイン名がtwitter.comであることにより、利用者は「パスワードが第三者に漏洩しない」ことを確認できるわけです。

追記：当初、上記がHTTPSでない状態のスクリーンショットを貼っておりました。twitterの設定で、「HTTPS を常時使用する」をOFFにしていたためで、これをONにするとHTTPSで遷移します。実験環境でスクリーンショットを取得したために、HTTPSでないスクリーンショットを貼ってしまい申し訳ありません。ドメイン名が twitter.com であることと、HTTPSによる接続であることを確認するべきですし、twitterの設定で、「HTTPS を常時使用する」をONにしておくことをお勧めします（追記終わり）。

しかし、悪意のある連携アプリ、あるいは連携アプリではない単なるフィッシングサイトであれば、上記の正規のログイン画面ではなく、偽のログイン画面に遷移して、そこからIDとパスワードを窃取することは可能です。利用者が正しくアドレスバーのドメイン名を確認すれば防止ができますが、広く認知されているとも思えないので、このフィッシングはある程度の確率で成立するでしょう。

池田氏が「これはシステム側に通知されないことになっていますが、悪意をもって偽装することは容易です」と主張しているのは、上記のようなフィッシング行為を指しているのかもしれませんね…と思っていたら、以下のようにツイートされていました。

自称セキュリティ専門家からバカなコメントがたくさん来たが、OAuthぐらい知ってるよ。問題はそれが本物かどうか見分けにくいこと。私が認証したアプリの中には、思えば変なのもあった。これはユーザーが注意するしかないか。

— 池田信夫さん (@ikedanob) 10月 3, 2012

さて、上記フィッシングが成功したとして、twitterのIDとパスワードが分かれば、Gmailへの成りすましログインは成功するでしょうか? これは、一般には成功するとは限りませんが、池田氏は、「Gmailのパスワードを知らせたことはないのですが、ツイッターと共通にしていた」ということなので、twitterのパスワードをGmailで試してGmail側のログインに成功した可能性はあります。

ただし、本当にそうかなぁという疑惑は残ります。フィッシングというプロセスを踏むのであれば、いきなりGmailの偽ログイン画面をたててフィッシングしたほうが、単純な手順でGmailのメールアドレスとパスワードをダイレクトに得られますし、利用者（被害者）がGmailとtwitterで別のパスワードをつけていても、こちらの手順なら確実に(?)Gmailのパスワードが得られます。

Gmail(Googleアカウント)のフィッシング

ということで、Googleアカウントのフィッシング画面を用意してパスワードを窃取することは可能です。フィッシング対策評議会のホームページを見ると、Gmailをかたるフィッシング(2012/06/14)という案内が掲示されていますし、これと同一のフィッシングサイトでないとしても、似たようなフィッシングサイトがありひっかかってしまったという可能性はあります。私見では、twitter連携アプリのフィッシングよりも、こちらの可能性の方が高いような気がします。

次に、他の可能性つにいて検討します。

他のサイトからGmailアドレスとパスワードが漏洩した可能性

池田氏がユーザ登録得していた他のサイトが侵入され、Gmailアドレスとパスワードが漏洩したという可能性はあり得ます。この種の攻撃は意外に多いようで、サイト運営者からこの種の攻撃に対する対策の相談を受けることがあります。

他サイトからの漏洩の場合も、侵入を受けたサイトとGmailのパスワードが同じでないとGmailへの成りすましログインはできませんが、twitterとGmailで同じパスワードを使っていたということなので、他のサイトも同じだった可能性はあります。

そうは言っても、「今時はパスワードはハッシュ値で保存されているのでは?」という疑問を持つ人もいるでしょうが、

• パスワードを平文で保存しているサイトは今でも多いと予想される
• 単純なMD5やSHA-1ハッシュで保存している場合は、元パスワードが比較的短期間に分かってしまう場合が多い

という現状があります。ハッシュ値からの元パスワード解読の大規模な事例については、LinkedInから650万件のパスワード（SaltなしSHA-1ハッシュで保存）が漏洩し、解読されたと言う報告があります。その中には、1週間で650万のハッシュの内、540万が解読され、最終的には90%を解読したという報告もあります。

5.4M #linkedin passwords cracked after one week. Only 1M remain… @hacktalkblog @crackmeifyoucan @sophos_news #leakedin

— epixoipさん (@jmgosney) 6月 14, 2012

Surviving on little more than furious passion for many sleepless days, we now have over 90% of the leaked passwords recovered.

The Final Word on the LinkedIn Leakより引用

その他の手口

その他の手口としては以下が考えられますが、いずれも可能性は低そうです。

• 攻撃者がGoogleのサーバーに侵入
• パスワードに対する辞書攻撃
• ネットワーク経路上での盗聴
• Googleの権威DNSサーバーへの攻撃+中間者攻撃
• 池田氏が使っていたDNSキャッシュサーバーへの攻撃+中間者攻撃

可能性が低いと感じる理由は、犯人が海外（マニラ?）で操作していると考えられること、GoogleやDNSに対する攻撃の報告がないこと、GmailがHTTPSを常時利用していることなどによります。

対策

上記の推測（憶測）を踏まえ、利用者がとれる対策として、以下がよいと考えられます。

• Googleアカウントのパスワードを長く複雑なものにする
• パスワードを他のサイトとは別のものにする
• Googleの2段階認証を設定する
• パスワードを入力する前にアドレスバーのドメイン名を確認する（フィッシングの対策）

Googleアカウントの成りすましは影響が大きいため、この機会にGoogleの2段階認証の設定をお勧めします。これは、ログイン検証後に携帯電話のメールにより6桁のランダムな数字が送信されるもので、携帯メールを用いたワンタイムトークンといえます。類似のサービスとして、Yahoo!のワンタイムパスワードがあります（解説ブログ）。こちらもこの機会に設定しておくとよいでしょう。