SCAN DISPATCH ：大手IT系メディア記者のセキュリティレベル

　SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

国際海外情報

2008年8月12日（火） 17時15分

　SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

　今回は先週USで開催されたBlack Hat2008からプレスルーム盗聴の話を、現場に居合わせたライターがお届けします。
──

　ITセキュリティコンファレンスの老舗、Black Hat USAが、8月6〜7日にラスベガスはシーザーズ・パレスで開催された。そのプレスルームの有線ネットワークがフランスの記者に盗聴され、ログがブログで公開されるという事件が起きた。

　事件が起きたのはコンファレンス2日目の7日。プレスとして出席していた筆者は、午後にプレスルームに戻りラップトップを立ち上げようとすると、筆者の私物のネットワークケーブルを隣に座っていた米国人の記者が使っていることに気がついた。そのケーブルは筆者が持参し、昼食時に席をはずす際、スイッチにつなげたままにしておいたものだ。

「申し訳ない。これは私のだから返して欲しいのだけど」と、筆者。
「ここでは共有するんだ！」と、彼は叫ばんばかり。
「ほら、ちゃんと名前が書いてあるでしょ？」と、筆者。
「そんなの関係ない。これは共用するんだ！」と、彼は今度は乗りあがって食い下がる。
「でも、このケーブルは私が自分で家からわざわざ持ってきたの」とさらに説明すると、彼はやっと腰をおろして「あ、それなら話は違う」と自分のケーブルをバッグから取り出して、筆者のケーブルを返してくれた。

　「米国人は自分を主張するのが得意とはいえ、この人、どうしたのかしら？」そう考えながら筆者も席に着き、メールの確認をしようとすると、こんな会話が耳に入った。

　筆者のケーブルを使っていた記者の隣に座っていた女性記者が、さらに隣に座っているTGDailyの記者のパソコンのスクリーンを見ながら、「でも、一体何を見ているのか分からない」と言っている。声に緊張感がある。TGDailyのレポーターはスクリーンを指差しながら、「ほら、このコラムがログインネームで、このコラムがパスワードで....」と、彼女に説明している。

　筆者は即座に「Snifferのログだ」と気がついた。

　その女性記者は同僚らしき男性レポーターに向かって「私は単なるジャーナリストよ。私のコンピュータを安全にするのは貴方に責任があるのよ。でも、このパスワードは私のものじゃない。」と言っている。さらに、筆者のケーブルを使っていた記者が同じくスクリーンを覗き込み「これは僕のログインネームとパスワードだ」と宣言した。先の女性記者は、TGDailyの記者に向かって「あなたがブログにしなかったら問題なかったのに」と続けていた。

　これで理由が分かった。

　筆者がいない間に、プレスルームのネットワークトラフィックが盗聴され、それがTGDailyのブログに乗ってしまったのだ。TGDailyの記事によれば、ブログに掲載されたのはeWeekとCNETのもの。先のログインネームとパスワードを盗聴された記者は、eWeekのブライアン・プライス記者。そして、「このパスワードは私のものじゃない」と言っていたのは、CNETの記者。筆者が「ケーブルを返して欲しい」と言ったのは、ちょうどこのブログが掲載された直後だったのだ。プライス記者のご機嫌が斜めだったのも、無理がない。

　Black Hat USAの参加者には、いくつかのネットワーク回線が用意されている。一つは参加者全員に無料提供のWi-Fi。このWi-Fi回線には、今年からWall of Sheepというプロジェクトのメンバーがトラフィックをモニターし、平文のトラフィックをログにして、一般公開している。Wi-Fiの安全性の低さを身をもって実感させ、参加者にさらなるセキュリティーの処置を促す策だ。

　しかし、プレスが使うのはプレスルームにある有線のネットワーク。こちらはWall of Sheepの対象にはなっておらず、Black Hatのスピーカーも、プレス担当者も使っているプライベートなネットワークだ。コンファレンスを取材している記者が「安全である」と仮定しても当然だ。

　では何故、そのプレイベートなネットワークが盗聴されていたかというと、フランスのGlobal Security MagのMauro Israel記者が、「古典的なMan in the Middle攻撃（BlackHatの主催者による解説）」でもって、プレスルームのスイッチに接続した自分のラップトップにLANのトラフィックをリルートし、それをCain & Abel というネットワーク・モニタープログラムで記録していたからだ。Mauro Israel記者はWall of Sheepのメンバーにそのログを渡して公開しろと迫ったが、Wall of Sheepはそれを拒否。たまたまそこに居合わせたTGDailyの記者がIsraelのラップトップのスクリーンの写真をとり、これを即座にブログにしてしまった、というのがそのいきさつ。

　Israel記者がトラフィックをリルートしていたのは、事件のあった8月7日の10:53〜11:04（eWeekの記者のパケットがログされている時間帯）だけでなく、前日の6日の17:52や14:41も盗聴されていたことがTGDailyの写真から分かる。筆者もその時間帯はプレスルームにいた。が、SSLをかけた電子メールのチェックだけしかプレスルームでは行っておらず、被害になるのを免れたのだ。

　これによって、Global Security Magの記者はBlack Hatと付随するDefconから永久追放。連邦法に触れる行為に、Black Hat側でも事件を真剣に受け止め、後に電子フロンティア財団（Electronic Frontier Foundation）の弁護士を交えてのプレスコンファレンスを催していた。そして、CNET、Wired、eWeek、SCMagazine、InternetNews などを含め、4,600件近くにのぼるWebページに載るニュースとなってしまった。

　では、この事件の教訓は…

【執筆：米国　笠原利香】

【関連リンク】
Black Hat公式サイト
http://www.blackhat.com/
TGDaily "Black Hat friendly fire -press on press hacking"
http://www.tgdaily.com/html_tmp/content-view-38790-108.html
TGDaily "Reporters booted from Black Hat for hacking"
http://www.tgdaily.com/html_tmp/content-view-38794-108.html
CNETの記者の経験談
http://news.cnet.com/8301-1009_3-10011157-83.html
eWeekの記者の体験談
http://www.eweek.com/c/a/Security/How-I-Got-Hacked-at-Black-Hat/
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》