仮にですが、何らかのWebサービスのアカウントをクラックして悪用し(システムではなく、あくまでWebサービス上でのアカウントです)、その後サービスが稼働しているシステムをクラックする。そしてシステムをクラックしたのは、件のクラックされたアカウントの利用者であった、というように誤解させることは可能ですか?
背景は、現在知られている技術やプロトコルで可能な範囲で、各自で設定した上で、可能であればそのプロセスを、不可能であればその根拠を、お答え下さい。
発想が逆では?
(1)Aのアカウントを何らかの手段で入手
(2)自分のPCでAのアカウントを利用してシステムに入り
(3)そこからシステムをクラック
(4)色々操作してAのPCからアクセスしたように偽装する方法?
…という順にするから話が難しくなるので、
(1)踏み台にするA(アカウント使用者)のPCをクラック
(2)自分のPCからAのPCを介し、Aのアカウントを使ってシステムに入り
(3)そこからシステムをクラック
…という手順を取れば、とりあえず、AのPCがクラックされていたことが判明するまでは『システムをクラックしたのは、件のクラックされたアカウントの利用者(A)であった、というように誤解させる』ことは普通に可能ですよね。ハッキングにおけるいわゆる『踏み台』というヤツです。件の映画は知らないので、何らかの事情によりAのPCは絶対にクラックできない、という設定があったのなら話は別ですが、そうでなければ要はこういうことだったのではないでしょうか?
初めまして。E.A.Poe(知のくずかご)と申します。
主題:「SQLインジェクション」のひとつではないかと想像する
--
小生はそのような映画の心当たりがありませんので、完全な推測でお答えすることをお許しください。
最近読んだ雑誌に「SQLインジェクション」の簡単な説明がありました。概要をかいつまむと
1:Webサービスで「ID」「パスワード」を入力する必要のあるページに行く
2:工夫されたIDを入力する
3:登録されたIDが手に入る
(3.1:うまいことやってIDからパスワードを推測する(らしい。ひょっとすると同じ方法でパスワードも手に入るかもしれません)
4:入手したIDとパスワードでログインして、そのIDの持ち主になりすます
という感じでした。
この方法をつかうと
>Webサービスのアカウントをクラックして悪用し(システムではなく、あくまでWebサービス上でのアカウントです)
が可能になるのではないかと思います。
そこから先は存じ上げませんが、ひょっとして
>その後サービスが稼働しているシステムをクラックする
>システムをクラックしたのは、件のクラックされたアカウントの利用者であった、というように誤解させる
まで可能かもしれません。
--
なお、この方法はすでに対策が講じてあるそうですが、映画の話なら「ちょっとしたリアリティを持たせる小道具」として使っても、まあ大丈夫なのではないかと思います。
あまり自信がありませんが、お役に立ちますかどうか。
残念ながら、当初のアカウントをクラックする手法そのものはあまり重要ではありません。
当初クラックされたアカウントは、その後クラックされることになる上位システムの管理者権限も、恐らくはアクセス権すら持っているわけでもない。ということが要点です。
なのに、何故そのアカウント(の利用者)が、システムをクラックしたということに(その映画内で)なっているのかが理解できないのです。
そもそもにサービス、およびシステムに脆弱性が有ったという前提は必要だがそれ自体は可能だ。
何らかのWebサービスのアカウントをクラックして悪用し
まずこれ自体は比較的容易。ほとんどのWebサービスは既知・未発見を問わなければ脆弱性が有ると考えて良いし、
なくてもソーシャルハッキングなどの方法でアカウントを乗っ取ることが出来る。
その後サービスが稼働しているシステムをクラックする。
これを実現するためには前述の前提条件が必要になる。
システム自体がよく知られたOS・アプリケーションで構築されているのであれば不可能と言うほどでもない。
ただ、よくメンテナンスされているシステムであればゼロデイアタックなどを利用する必要があるので難易度は非常に高い。
逆にメンテナンスされていないようなシステムであればちまたに流れているクラック用のスクリプトを実行するだけで済むことすらある。
そしてシステムをクラックしたのは、件のクラックされたアカウントの利用者であった、というように誤解させる
クラックが成功したということは大抵そのシステムを自由に扱える権限を得たという状態を指す。
クラック等に関する調査は各種ログにて判定することが多いのでログを書き換えてしまうことで誤認させることは可能。
古典的なクラックの手法としてはログを削除してしまうだけの物が多いがその応用というレベルだ。
ただし、これ自体はすでにかなり研究が進んでいる部分なので別途対策が取られている場合もある。
対策が取られていれば誤認させることは非常に困難もしくは不可能になることもある。
例として、そもそもクラックされている時点でログの信憑性が無いことはよく知られているし
システムの通信自体を監視する様な仕組み(IDS等)が導入されていることもある。
この場合システム本体だけでなく監視システム側もクラックして誤認する情報を与えなければならないので
現実的ではない。
ただし、誤認させることは無理でも攻撃元を特定されにくくする事は可能。
これは他のサーバーをクラックして踏み台にしたり、クラック自体をボットネットを利用して行う方法が知られている。
悪用を避けるため具体的な部分には一切触れていないので期待しているような回答ではないかもしれないが、その点はご容赦願いたい。
当該映画内では、通信機器とアカウントが紐付けられているような描写がありました。
クラック時の通信ログが残っていたと仮定すれば、『攻撃元』と『アカウント利用者』が別であることは推測できそうなものですが、どうすれば両者が同一であるかのように誤認させられるものでしょうか。
理解できません。
可能です。
たとえば、ゼロデイエクスプロイトを使えば、WEBサービス上のアカウントでも問題ないです。
ゼロデイエクスプロイトを使えばたいていなんでもできます。
クラックの手法が重要なのではありません。
発想が逆では?
(1)Aのアカウントを何らかの手段で入手
(2)自分のPCでAのアカウントを利用してシステムに入り
(3)そこからシステムをクラック
(4)色々操作してAのPCからアクセスしたように偽装する方法?
…という順にするから話が難しくなるので、
(1)踏み台にするA(アカウント使用者)のPCをクラック
(2)自分のPCからAのPCを介し、Aのアカウントを使ってシステムに入り
(3)そこからシステムをクラック
…という手順を取れば、とりあえず、AのPCがクラックされていたことが判明するまでは『システムをクラックしたのは、件のクラックされたアカウントの利用者(A)であった、というように誤解させる』ことは普通に可能ですよね。ハッキングにおけるいわゆる『踏み台』というヤツです。件の映画は知らないので、何らかの事情によりAのPCは絶対にクラックできない、という設定があったのなら話は別ですが、そうでなければ要はこういうことだったのではないでしょうか?
あ、いいですねそれ。凄くいいです。
>何らかの事情によりAのPCは絶対にクラックできない、という設定があったのなら話は別ですが
問題があるとすれば、通信端末が携帯電話(っぽい何か)で、その機器自体に何らかの影響があった描写がありませんし、アカウントを乗っ取られた描写だけ、というのが難ではありますが。
今夜はスッキリ眠れそうな気がします。
ありがとうございます。
単にアカウント取得者のためのサーバサイドスクリプトにXSS脆弱性があったということではないでしょうか。
実際、アカウント非取得者のためのページより遥かにコードの量が多いので、ログイン状態でアクセスしたときだけ脆弱性が出るっていうシチュは普通に考えられます。
ネトゲとかはほぼ全てがそうなんじゃないですか。
脆弱性の可能性の有無だけでは、攻撃元を誤認してしまう説明にはなりません。
WebのサービスのアカウントとシステムのアカウントがLDAPなどの共通の認証基盤で結びついていれば自然とそうなる気がしていますが、どうでしょう。
確かに。
両者のアカウントが共通であれば、あるアカウントが悪意ある変更を行った際には、そのアカウントの利用者が疑われますね。
しかし、一般ユーザのアカウントにまで、クラッキング可能な程度の権限が付与されるものですか?
普通は、管理者権限を持つアカウントをクラッキングするものだとばかり思っていました。
あ、いいですねそれ。凄くいいです。
>何らかの事情によりAのPCは絶対にクラックできない、という設定があったのなら話は別ですが
問題があるとすれば、通信端末が携帯電話(っぽい何か)で、その機器自体に何らかの影響があった描写がありませんし、アカウントを乗っ取られた描写だけ、というのが難ではありますが。
今夜はスッキリ眠れそうな気がします。
ありがとうございます。