★阿修羅♪ 現在地 HOME > IT7 > 460.html
 ★阿修羅♪
次へ 前へ
有名人の携帯電話データ流出:事業者側の対策不備が原因か(上)【Hotwiredニュース】
http://www.asyura2.com/0411/it07/msg/460.html
投稿者 名無しB 日時 2005 年 3 月 02 日 01:29:22: 0lJ1dbid3G/dc
 

http://hotwired.goo.ne.jp/
http://hotwired.goo.ne.jp/news/technology/story/20050301301.html
---------------------------------------------------------引用始め
有名人の携帯電話データ流出:事業者側の対策不備が原因か(上)

2005年2月28日 2:00am PT
Kevin Poulsen

昨年、携帯電話業界大手の米TモバイルUSA社のサーバーが不法侵入を受け、
顧客記録や政府の機密情報、個人の電子メールや有名人のプライベート写真が
流出するという事件が起きた。この情報漏洩は、Tモバイル社が商用ソフトウェア・
パッケージの既知のセキュリティーホールにパッチをあてていなかったために起きた
ということが、ワイアード・ニュースの取材により明らかになった。

ニコラス・ジェイコブセン被告(22歳)は、検察当局との司法取引(内容は機密扱い
とされている)に応じ、2月15日(米国時間)にロサンゼルスの米連邦地方裁判所で
起訴事実を認めている。同被告が犯行を認めたのは、保護されたコンピューターに
故意に不正アクセスし、重大な損害を与えたという重罪1件についてだ。同被告に
よるTモバイル社のネットワークへのサイバー犯罪は2003年後半に始まり、昨年
秋に逮捕されるまで続いていた。

ジェイコブセン被告による不正アクセスの被害者には、ヒルトンホテル・グループの
令嬢でTモバイル社の『サイドキック』(Sidekick)のユーザー、パリス・ヒルトンさんも
含まれていた。2月20日以降、新たな不正アクセスにより、ヒルトンさんの個人的な
ファイルがインターネットに流出する事件が起きている(日本語版記事)
が、この件と
ジェイコブセン被告の関連は確認されていない。

米司法省と米財務省秘密検察局(シークレット・サービス)は、ジェイコブセン被告の
訴追手続きを異例の極秘態勢で進めており、Tモバイル社も、同被告によるシステム
への侵入経路について口を閉ざしている。だが、この訴訟に詳しい2つの情報源、
およびジェイコブセン被告と親しいハッカー(同被告が盗んだファイルの一部を
ホスティングしていた)は、口を揃えて1つのセキュリティーホールを指摘している――
米BEAシステムズ社(本社カリフォルニア州サンノゼ)製のアプリケーション・サーバー
『WebLogic Server 』(ウェブロジック・サーバー)に、2003年はじめに見つかっていた
脆弱性だ。

セキュリティー企業の米SPIダイナミクス社所属の研究者たちによって発見された
このセキュリティーホールは、文書化されていない機能の形式を利用し、特別に
作ったウェブリクエストをシステムに送ることにより、攻撃者はシステム上のいかなる
ファイルでも、読み取り・置き換えが可能になるというものだ。BEA社は2003年3月、
この欠陥へのパッチを作成し、きわめて重大な脆弱性だとする勧告を公表していた。

同年7月には、ラスベガスで開催された『ブラック・ハット・ブリーフィングズ』会議の
プレゼンテーションの1つで、このセキュリティーホールが注目を集めた。約1700人の
コンピューター・セキュリティー専門家と企業幹部が参加した同会議で、SPIダイナミクス社
の研究者がこの脆弱性の悪用法を事細かに説明したのだ。

SPIダイナミクス社を設立したキャレブ・サイマ最高技術責任者(CTO)によると、
攻撃方法は「子どもでもできるくらい簡単だ」という。「特別なヘッダーをリクエストに加え、
最後に特別なコマンドを付けておけば、それで事足りる」とサイマCTOは説明する。

上述の情報筋によると、ジェイコブセン被告は、BEA社の勧告によってWebLogicの
セキュリティーホールの存在を知り、『Visual Basic』(ビジュアル・ベーシック)で20行の
不正アクセス用コードを作成し、パッチを適用していない標的候補をインターネット上で
探し回るようになったという。同被告は2003年10月までに、Tモバイル社という格好の
標的を見つけ、この脆弱性を足がかりに同社のシステムへと侵入した。その後、顧客
データベースに侵入する自分専用のフロントエンドを作成し、いつでも自由にアクセス
できる環境を手に入れた。

ハッカー・コミュニティーの中でもジェイコブセン被告と親しいウィリアム・ジェノベーゼ被告
によると、ジェイコブセン被告は「その後、自分用にカスタマイズしたインターフェースまで
作成した」という。ちなみにジェノベーゼ被告も、ジェイコブセン被告の事件とは無関係だが、
米マイクロソフト社のオペレーティングシステム(OS)『ウィンドウズ2000』および『ウィンドウズNT』の
インターネットに流出したソースコードの一部を20ドルで販売しようとしたとして起訴されている。
(3/2に続く)

[日本語版:長谷 睦/高森郁哉]

WIRED NEWS 原文 (English)

日本語版関連記事
・ヒルトンさんの携帯電話データ流出:データの入手方法は?
・大丈夫か? VoIPのセキュリティー
・ハッカー、Tモバイルのネット侵入で政府の極秘情報も入手
・ブルートゥースの脆弱性、携帯電話に予想以上のリスク
・『ウィンドウズ』ソースコードの一部がネットに流出
・『N-Gage』のコード破られる?――ハッカーが犯行声明
・ハッカーがボイスメールを悪用、海外からコレクトコール
・ベライゾン・ワイヤレス、顧客情報流出につながる欠陥をようやく修正

WIRED NEWSのメール購読申込みはこちら

Original articles: Copyright© 1994-2005 Wired Ventures Inc.
and affiliated companies.Translations and other portions:
Copyright© 2005 NTT Resonant Inc.,and Wired Digital Inc.
and affiliated companies.All rights reserved.
---------------------------------------------------------引用終り

 次へ  前へ

▲このページのTOPへ      HOME > IT7掲示板



フォローアップ:


 

 

 

  拍手はせず、拍手一覧を見る


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)
タグCheck |タグに'だけを使っている場合のcheck |checkしない)(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(2023/11/26から必須)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
投稿コメント全ログ  コメント即時配信  スレ建て依頼  削除コメント確認方法
★阿修羅♪ http://www.asyura2.com/  since 1995
 題名には必ず「阿修羅さんへ」と記述してください。
掲示板,MLを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。