SCAN DISPATCH :Yahoo! Mailログインの分散型ブルートフォース攻撃をハニーポットが検知 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.19(木)

SCAN DISPATCH :Yahoo! Mailログインの分散型ブルートフォース攻撃をハニーポットが検知

国際 海外情報

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 日本で大型連休に入る少し前の9月中頃、WASC Distributed Open Proxy Honeypot Project (DOPHP)のプロジェクトリーダであるRyan Barnett氏がそのブログで、「Yahoo! Mailのユーザアカウントのログインを試みるブルートフォース攻撃が、DOPHPのプロキシポットによって検知された」と発表した。筆者とBarnett氏とのメールインタビューを交えて報告したい。

 DOPHPは、The Web Application Security Consortium(WASC)が行っているプロジェクトの一つで、Web攻撃のデータを収集することを目的で設置されたハニーポットプロジェクトだ。Webへの攻撃をハニーポットでキャプチャするためには、単にWebベースのハニーポットを設置するだけでは殆ど意味が無い。それは、データを収集するのに必要なトラフィックを得られないからだ。そのためDOPHPは、オープン・プロキシ・サーバにプロキシポットと呼ばれるハニーポットを設置し、そこを通過するHTTPトラフィックを解析し、リアルタイムのデータ収集を行っている。攻撃者が攻撃元のアドレスを隠すにはオープンプロキシを使うのが普通で、この方法は攻撃トラフィックに遭遇する確率が高い。

 さて、通常ユーザがYahoo! Mailにログインする場合は、Yahoo! Mail web login interface pageを使う。このページは、ユーザがログインを試みた回数を記録しており、ユーザが規定回数以上のログインを試みた場合は、CAPTCHAを同時にクリアしないとログインできないことになっている。つまり、Yahoo! Mail web login interface pageからはブルートフォース攻撃が行えない。また、ユーザがログインに失敗した場合、Yahoo! Japanの場合のメッセージは、「Yahoo! JAPAN IDまたはパスワードが正しくありません」で、ログインIDが正しくないのかパスワードが正しくないのかを指摘しないため、ログイン情報の推測が難しくなっている。

 ところが、こうしたセキュリティ手段が講じられていないのが、「/config/isp_verify_user」という名前の、ISPやパートナーのWebアプリケーション用のweb services authentication systems API。数多くのYahoo!のサブドメインが、このアプリケーションをホストしており、DOPHPが検知している分散型ブルートフォースは、この「/config/isp_verify_user」を攻撃対象としていた。

 前記Yahoo! Mail web login interface pageと違い、「/config/isp_verify_user」に無効なログインが試みられた場合、ユーザネームが無効の場合は「ERROR:102:Invalid Login」というメッセージが戻ってくる。また、ログイン試みの回数カウンタもCAPTCHAも装備されていないため、「ERROR:102:Invalid Login」の代わりに「ERROR:101:Invalid Password」というメッセージが出るまでオートメーションされたログイン・リクエストを次々と送ることにより、正規ユーザ名を推測することができるのだ。一度ログインIDが分かったら、同じようにパスワードをブルートフォースして、ログイン情報が確定できる。

 実際にプロキシポットで記録された攻撃トラフィックの一部は、以下の通りだ。

Get http://l33.login.scd.yahoo.com/config/isp_verify_user?l=kneeling@ort.rogers.com&p=qwerty HTTP/1.0
Get http://l06.member.kr3.yahoo.com/config/isp_verify_user?l=kneading@ort.rogers.com&p=000000 HTTP/1.0
Get http://69.147.112.199/config/isp_verify_user?l=kitbags@ort.rogers.com&p=333333 HTTP/1.0
Get http://217.12.8.235/config/isp_verify_user?l=kirk@ort.rogers.com&p=yankees HTTP/1.0
GET http://69.147.112.217/config/isp_verify_user?l=__miracle&p=weezer HTTP/1.0
GET http://69.147.112.202/config/isp_verify_user?l=123#@!.._69_&p=weezer HTTP/1.0
GET http://68.142.241.129/config/isp_verify_user?l=__lance_&p=weezer HTTP/1.0
GET http://202.86.7.115/config/isp_verify_user?l=__kitty__69__&p=weezer HTTP/1.0

 これを見ても分かるように、攻撃者は複数のオープン・プロキシに攻撃トラフィックを分散してソースIPを変えているだけでなく、万が一、Yahoo!のサブドメインの一つが攻撃を回避するセキュリティ手段を導入していても、それを回避できるように、攻撃に使用するYahoo!のサブドメインも分散させていることが分かる。そして、良く使われるパスワードを選び、次々と違ったユーザネームでブルートフォースする攻撃は Horizontal Scanning(水平スキャニング)、同じユーザネームで、違ったパスワードを次々としようするブルートフォース攻撃はVertical Scanning(垂直スキャニング)と命名されているが、攻撃者は「Diagonal Scannintg(対角スキャニング)」と言われる方法、つまり、ログインの試みごとに違ったユーザネームとパスワードのコンビネーションを使った攻撃を行っていることも分かる。

 Barnett氏は「全部で400のYahoo!サブドメインに向けて…

【執筆:米国 笠原利香】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

    搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

  2. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

    セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  3. SMSによる二要素認証が招くSOS(The Register)

    SMSによる二要素認証が招くSOS(The Register)

  4. フィッシング詐欺支援サービスの価格表(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  7. Mac OS X のシングルユーザモードの root アクセス(2)

  8. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  9. Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

  10. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×