数々の有名アカウントをハッキングする恐怖のハッカー集団「OurMine」

江添 佳代子

September 7, 2017 08:00
by 江添 佳代子

これまでにも様々なSMSのアカウントをハッキングしてきたハッカー集団「OurMine」が今年8月後半、立て続けに2つの事件を起こした。1つはプレイステーションネットワーク(以下PSN)の公式アカウントハッキング事件。そしてもう1つは、あのWikiLeaksのウェブサイトのリダイレクト事件だ。この2つの事件を確認する前に、まずは「OurMine」について説明しよう。

ハッカー集団「OurMine」とは?

OurMineはサウジアラビアを拠点とする5人組のハッカーグループだと考えられている。彼らは自らについて「ホワイトハット(善玉)の」「プロフェッショナルな」「セキュリティのための」ハッカーだと表現し、また「大手システムの脆弱性を示した数多くのハッキングで知られているエリート」だと説明している。これまで彼らが関わってきたインシデントの大半はSNSのアカウントのハッキングで、とりわけTwitterアカウントの乗っ取りが多い。

2016年以降、彼らは注目の集まりやすいアカウントを次々と乗っ取っては、「こんにちは。このアカウントはOurMineにハッキングされました。より良いセキュリティのために我々のサービスを利用してください」といった宣伝文を記し、自身のウェブサイトへのリンクを掲載してきた。つまり、「このようにアカウントを悪用されたくなければ、我々OurMineのサービスでセキュリティを強化しましょう」というメッセージだ。それは凶悪な犯罪とまでは言えないかもしれないが、さすがに「ホワイトハットの活動」だと主張するのは無理があるだろう。

リンク先となるOurMineのウェブサイトには、有料のセキュリティサービスに関する案内が提示されており、それらは「PayPalで簡単に購入できる商品」となっている。ちなみに個人のSNSやメールアドレス、クラウドの安全性をチェックするサービスの価格は30ドル(約3000円)だ。実際に著名人たちのアカウントを破ってきたハッカー集団の提示額としては、なかなか良心的にも感じられてしまう。ただし企業向けのサービスに関しては「要相談」と記されている。

OurMineのウェブサイト

個人は30ドルでサービスの申し込みが可能

これまでOurMineが乗っ取ってきたアカウントの数は非常に多いのだが、特筆すべき点は「彼らの攻撃しているSNSの顔となるメンバー」が次々と犠牲になってきたことだろう。たとえばFacebook創設者のマーク・ザッカーバーグ、Twitter共同創設者で元CEOのエヴァン・ウィリアムズ、同じくTwitterの元CEOディック・コストロ、Twitterの現CEOジャック・ドーシー、Spotifyの共同創設者でCEOのDaniel Ek、そしてGoogleの現CEOサンダー・ピチャイもOurMineにアカウントを乗っ取られてきた(※)。

他にもOurMineは、ウィキメディア財団名誉理事長ジミー・ウェールズなどの「インターネットの著名人」たちのアカウントをハッキングしている。さらにはミュージシャンや俳優、クリエイターやDJ、人気のYouTuberなどのアカウントも攻撃してきた。彼らの標的となるのは個人のアカウントだけではない。たとえばニューヨークタイムス、BuzzFeed、ナショナルジオグラフィック、Netflix、TechCrunch(米国発の大手ニュースサイト)、HBO(米国のケーブルテレビ放送局)、ドラマ「ゲーム・オブ・スローンズ」などもハッキングの犠牲者となっている。
 
※これほどのメンバーが被害に遭っているなら、もはやOurMineにアカウントを乗っ取られても恥ではない、むしろ名誉だと思う方もいるかもしれない。しかしこれらのハッキングには気まずい事実が露呈されたケースもある。たとえばザッカーバーグは複数のソーシャルメディアのアカウントで「dadada」という脆弱なパスワードを使い回していたことが暴露されている

PSNハッキング事件(2017年版)

2017年8月20日、PSN公式のTwitterとFacebookアカウントがOurMineに乗っ取られた。OurMineは、それらのアカウントでハッキングを表明しただけでなく、「PSNのデータベースはOurMineによって漏洩した」と主張している。

乗っ取ったPSNのアカウントで、OurMineは次のようなメッセージを投稿した。「いいえ、それ(盗んだデータベース)をシェアするつもりはありません。我々はセキュリティグループです」「PlayStationの職員の方、ぜひ我々のウェブサイトを訪問してください」──PSNは直ちにアカウントの制御を取り戻し、OurMineによる投稿を削除したものの、これらの珍しいツイートを目撃したユーザーの一部はスクリーンショットを保存していた。当時の投稿内容は、セキュリティ企業Bitdefenderのブログなど複数のサイトに掲載されている。

乗っ取ったPSNのアカウントにOurMineの書き込みが掲載される
画像はSecurityAffairsより

OurMineが記した「PSNのデータベース」とは、どのような内容のデータベースなのか、また本当に盗まれたのかどうか、現時点でPSN側からの明確なコメントは発表されていない。いまはっきりと言えることは、PSNが利用している2つのSNSの公式アカウントがハッキングされたということだけだ。

しかしデータベースが実際に盗み出されたのなら──犯人は「盗んだデータを公開する意向がない」と表明しており、その悪用も企んでいない様子だが──、かなり深刻な数のユーザーのデータが危険に晒された可能性も高いだろう。ちなみにPSNは2011年にも大規模なセキュリティ侵害を受けた。この7700万人以上の全ユーザーの詳細な個人情報が盗まれた事件は、現在でも「史上最大のセキュリティ侵害事件のひとつ」と認識されている。

WikiLeaksハッキング事件

そして8月31日、OurMineはWikiLeaksのウェブサイトを攻撃した。いつものように「wikileaks.org」を訪問したユーザーは、「Hacked by OurMine」という見出しとともに、次のようなメッセージが表示されたページを見ることとなった。

「こんにちは。セキュリティグループのOurMineです。ご心配ありません、我々は単にテストを行うために、どうたらこうたら……ああ、ちょっと待って。今回はセキュリティのテストじゃありません! WikiLeaksの皆さん、『ハッキングしてみろ』と我々に挑戦状を叩きつけたことを覚えていますか?」

WikiLeaksのトップページが改竄された!?
画像はSecurityAffairsより

このハッキングが行われた直後、ジュリアン・アサンジは自身のTwitterアカウントで「WikiLeaksのサーバーはハッキングされていない」と語り、それがDNS(ドメインネームシステム)の攻撃を介したものであると語った。つまりOurMineはWikiLeaksのサーバーに侵入して改ざんを行ったのではなく、DNSハイジャックの手法でOurMineが作成した別のページへと閲覧者をリダイレクトしたようだ……と考えられているのだが、攻撃者がDNSの働きの「どの部分を」攻撃したのか、どのようにして閲覧者のリダイレクトに成功したのかなど、具体的なことは明らかにされていない。

『WIRED』は9月4日、「ハッカー語録:DNSハイジャックとは何か?」と題された記事の中で、今回のOurMineによるWikiLeaksの事件を説明し、「ドメインレジストラに対して単純なソーシャルエンジニアリングが行われた可能性もある」と示唆した。もう少し詳しく説明すると、たとえばWikiLeaksが利用しているドメインレジストラに、攻撃者が「顧客(WikiLeaksの管理者)のふりをして連絡し、ネームサーバーの登録情報の変更を依頼する」など、人間を騙す詐欺の手口が使われたかもしれない。このような攻撃が行われたなら、ウェブサイトそのものの管理者に落ち度がなかったとしても、訪問者は「新たに紐付けられた別のページ」へと飛ばされてしまう。

今回の事件の場合、OurMineの目的はいつものように「OurMineの名前を売り込むこと、ひいては有償サービスを利用させること」だった可能性が高いだろう。しかし閲覧者から個人情報を盗みたいと考えた犯罪者が、同じ発想で攻撃するなら──WikiLeaksでそれを行っても、あまり金銭的な利益は得られそうにないが──、多くのユーザーがアカウント情報やクレジットカード情報を入力するサービスを攻撃し、元のウェブサイトをそっくり真似たフォームを表示するページへと閲覧者をリダイレクトすることで、顧客から機微情報を収集しようと試みることができる。

OurMineのハッキングから私たちが学べること

この8月、OurMineが示した「2つの有名なサービスのハッキング事件」は、OurMineがいま最も勢いに乗っているハッカーチームのひとつであることを示唆するものだった。しかし、それだけではないだろう。

広く知られている大手のサービスや、その代表となるような人々が、自分の名前を売り込みたいハッカーによって次々と攻撃を受けている。SNSのアカウントが乗っ取られ、データベースが盗まれ、ウェブサイトではリダイレクトが行われている。その一部は、たとえ組織の担当者(サーバーの管理者やSNSサービスの登録担当者など)が真剣にセキュリティ対策を講じようとしても、それほど有効な防御策がないインシデントだ。

私たちは、この事実を「より悪意を持った人物が、同じことをするかもしれない」という視点で捉えることができる。自分が目にしている大手ウェブサイトや、公式マークのついたSNSアカウントは、本来の持ち主ではない人物が制御を握っている可能性もある──そのような疑いを抱くことに慣れたユーザーが、オンラインで慎重に行動するきっかけとなるのであれば、「我々はセキュリティのために活動しているホワイトハットのハッカーだ」というOurMineの主張も、あながち大きく間違ってはいないのかもしれない。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…