人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

タイトルは伏せますが、某映画を見ていて疑問に思うことがありました。

仮にですが、何らかのWebサービスのアカウントをクラックして悪用し(システムではなく、あくまでWebサービス上でのアカウントです)、その後サービスが稼働しているシステムをクラックする。そしてシステムをクラックしたのは、件のクラックされたアカウントの利用者であった、というように誤解させることは可能ですか?

背景は、現在知られている技術やプロトコルで可能な範囲で、各自で設定した上で、可能であればそのプロセスを、不可能であればその根拠を、お答え下さい。

●質問者: 古之
●カテゴリ:コンピュータ 書籍・音楽・映画
✍キーワード:Webサービス アカウント クラック サービス システム
○ 状態 :終了
└ 回答数 : 6/6件

▽最新の回答へ

1 ● EdgarPoe
●25ポイント

初めまして。E.A.Poe(知のくずかご)と申します。

主題:「SQLインジェクション」のひとつではないかと想像する


--

小生はそのような映画の心当たりがありませんので、完全な推測でお答えすることをお許しください。


最近読んだ雑誌に「SQLインジェクション」の簡単な説明がありました。概要をかいつまむと

1:Webサービスで「ID」「パスワード」を入力する必要のあるページに行く

2:工夫されたIDを入力する

3:登録されたIDが手に入る

(3.1:うまいことやってIDからパスワードを推測する(らしい。ひょっとすると同じ方法でパスワードも手に入るかもしれません)

4:入手したIDとパスワードでログインして、そのIDの持ち主になりすます

という感じでした。


この方法をつかうと

>Webサービスのアカウントをクラックして悪用し(システムではなく、あくまでWebサービス上でのアカウントです)

が可能になるのではないかと思います。

そこから先は存じ上げませんが、ひょっとして

>その後サービスが稼働しているシステムをクラックする

>システムをクラックしたのは、件のクラックされたアカウントの利用者であった、というように誤解させる

まで可能かもしれません。


--

なお、この方法はすでに対策が講じてあるそうですが、映画の話なら「ちょっとしたリアリティを持たせる小道具」として使っても、まあ大丈夫なのではないかと思います。


あまり自信がありませんが、お役に立ちますかどうか。

◎質問者からの返答

残念ながら、当初のアカウントをクラックする手法そのものはあまり重要ではありません。

当初クラックされたアカウントは、その後クラックされることになる上位システムの管理者権限も、恐らくはアクセス権すら持っているわけでもない。ということが要点です。

なのに、何故そのアカウント(の利用者)が、システムをクラックしたということに(その映画内で)なっているのかが理解できないのです。


2 ● b-wind
●5ポイント

そもそもにサービス、およびシステムに脆弱性が有ったという前提は必要だがそれ自体は可能だ。


何らかのWebサービスのアカウントをクラックして悪用し

まずこれ自体は比較的容易。ほとんどのWebサービスは既知・未発見を問わなければ脆弱性が有ると考えて良いし、

なくてもソーシャルハッキングなどの方法でアカウントを乗っ取ることが出来る。


その後サービスが稼働しているシステムをクラックする。

これを実現するためには前述の前提条件が必要になる。

システム自体がよく知られたOS・アプリケーションで構築されているのであれば不可能と言うほどでもない。

ただ、よくメンテナンスされているシステムであればゼロデイアタックなどを利用する必要があるので難易度は非常に高い。

逆にメンテナンスされていないようなシステムであればちまたに流れているクラック用のスクリプトを実行するだけで済むことすらある。


そしてシステムをクラックしたのは、件のクラックされたアカウントの利用者であった、というように誤解させる

クラックが成功したということは大抵そのシステムを自由に扱える権限を得たという状態を指す。

クラック等に関する調査は各種ログにて判定することが多いのでログを書き換えてしまうことで誤認させることは可能。

古典的なクラックの手法としてはログを削除してしまうだけの物が多いがその応用というレベルだ。

ただし、これ自体はすでにかなり研究が進んでいる部分なので別途対策が取られている場合もある。

対策が取られていれば誤認させることは非常に困難もしくは不可能になることもある。

例として、そもそもクラックされている時点でログの信憑性が無いことはよく知られているし

システムの通信自体を監視する様な仕組み(IDS等)が導入されていることもある。

この場合システム本体だけでなく監視システム側もクラックして誤認する情報を与えなければならないので

現実的ではない。

ただし、誤認させることは無理でも攻撃元を特定されにくくする事は可能。

これは他のサーバーをクラックして踏み台にしたり、クラック自体をボットネットを利用して行う方法が知られている。


悪用を避けるため具体的な部分には一切触れていないので期待しているような回答ではないかもしれないが、その点はご容赦願いたい。

◎質問者からの返答

当該映画内では、通信機器とアカウントが紐付けられているような描写がありました。

クラック時の通信ログが残っていたと仮定すれば、『攻撃元』と『アカウント利用者』が別であることは推測できそうなものですが、どうすれば両者が同一であるかのように誤認させられるものでしょうか。

理解できません。


3 ● yofukaci
●5ポイント

可能です。

たとえば、ゼロデイエクスプロイトを使えば、WEBサービス上のアカウントでも問題ないです。

ゼロデイエクスプロイトを使えばたいていなんでもできます。

◎質問者からの返答

クラックの手法が重要なのではありません。


4 ● jo_30
●50ポイント ベストアンサー

発想が逆では?

(1)Aのアカウントを何らかの手段で入手

(2)自分のPCでAのアカウントを利用してシステムに入り

(3)そこからシステムをクラック

(4)色々操作してAのPCからアクセスしたように偽装する方法?

…という順にするから話が難しくなるので、

(1)踏み台にするA(アカウント使用者)のPCをクラック

(2)自分のPCからAのPCを介し、Aのアカウントを使ってシステムに入り

(3)そこからシステムをクラック

…という手順を取れば、とりあえず、AのPCがクラックされていたことが判明するまでは『システムをクラックしたのは、件のクラックされたアカウントの利用者(A)であった、というように誤解させる』ことは普通に可能ですよね。ハッキングにおけるいわゆる『踏み台』というヤツです。件の映画は知らないので、何らかの事情によりAのPCは絶対にクラックできない、という設定があったのなら話は別ですが、そうでなければ要はこういうことだったのではないでしょうか?

◎質問者からの返答

あ、いいですねそれ。凄くいいです。


>何らかの事情によりAのPCは絶対にクラックできない、という設定があったのなら話は別ですが


問題があるとすれば、通信端末が携帯電話(っぽい何か)で、その機器自体に何らかの影響があった描写がありませんし、アカウントを乗っ取られた描写だけ、というのが難ではありますが。


今夜はスッキリ眠れそうな気がします。

ありがとうございます。


5 ● atmarkbienna
●5ポイント

単にアカウント取得者のためのサーバサイドスクリプトにXSS脆弱性があったということではないでしょうか。

実際、アカウント非取得者のためのページより遥かにコードの量が多いので、ログイン状態でアクセスしたときだけ脆弱性が出るっていうシチュは普通に考えられます。

ネトゲとかはほぼ全てがそうなんじゃないですか。

◎質問者からの返答

脆弱性の可能性の有無だけでは、攻撃元を誤認してしまう説明にはなりません。


1-5件表示/6件
4.前の5件|次5件6.
関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ