米ソニー・ネットワークエンタテインメントが米国で公聴会に呼ばれているころ、米ソニー・ピクチャーズ エンタテインメント(SPE)からの新たな個人情報流出が報じられました。今度はハッカーグループ「LulzSec」が関わっているものと思われます。
彼らは情報を盗んだことだけをTwitterで公開していました。その後、その盗み出したとされる情報の一部をアップロードしました。彼らが盗み出したとしている個人情報は100万人以上としています。SPEサイトでは一部登録手続きを停止し、調査に乗り出すなどの動きを見せています。SQLインジェクションという脆弱性を発見して情報を盗み出し、その情報を公開したのです。
またLulzSecは、5月末には米公共放送サービス(Public Broadcasting Service、略称:PBS)のWebサイトを攻撃してトップニュースを書き換えてしまいました。ここで注目すべきなのは、MovableTypeというブログシステムの脆弱性が突かれていて、その脆弱性はまだ広く知られていたものではなかったということです。これはゼロデイ攻撃というものです。ゼロデイ攻撃は、対策が広く知られる前に攻撃を仕掛けるもので、攻撃される側からすれば、気付くことも防ぐことも困難な攻撃なのです。このような攻撃をするためにはある程度の技術力が必要です。
改竄されたPBSのサイトには「Hey Anonymous, we heard you were having trouble!"」と書かれていました。WikiLeaksやソニー関連の情報漏洩事件で有名になったAnonymousに対して挑戦的な文句を書いたのです。それに対してAnonymousも自身のTwitterの中で「n00b hackers, why hack something without a reason?」と言い返しています。つまりAnonymousは社会的な思想を背景に行動するのですが、LulzSecはそうではなく、別な動機を持っているということがいえます。
LulzSecが使っているとされる攻撃ツールは「Havij 1.14 Pro」とされています。これはWebサイトの脆弱性を検査するためのソフトウエアで、セキュリティ会社が提供しているプロ用のツールです。しかし、これが悪用されてしまっているのです。プロ用は有償ソフトウエアなのですが、これが改竄されて無料で悪いハッカーたちに使われてしまっているのです。
PBSへの攻撃の直後、彼らは「次のターゲットはソニーだ」と宣言しており、その後に実際に攻撃を行い、情報流出を起こしています。彼らの目的は少なくとも個人情報の売買などのプロの仕事ではないようです。ただし、Twitterでは寄付を募っており実際に寄付があったことをつぶやいています。
LulzSecは他にも攻撃を繰り返しており、それなりの大きさの組織であることが伺え、今後の動向が注目されます。この原稿を書いているときに今度は任天堂の米国法人であるNintendo of AmericaのWebサイトの設定ファイルをLulzSecが公開しました。
LulzSecが注目を集める一方で、apps.pro.sony.euというドメイン名のWebサイトのユーザー名と暗号化されていないパスワードが公開されました。レバノンのハッカーを名乗るIdahcという人物が犯行声明を出しています。
今回の一連の事件では、グローバルにブランドが知られている企業で、多数の関連会社が世界中にあり、それぞれでWebサイトを運営している場合に、攻撃から守るのは相当難しいということが明らかになりました。企業グループでWebサーバーを統合して、1カ所で集中的に守るようにしないと、どこかに穴ができてしまい、結局はブランドイメージの低下につながってしまいます。
ところで、LulzSecは少し派手に活動をしすぎているようです。Anonymousはうまく法に触れないように弁護士が協力していたりしているようですが、LulzSecは思いのままに行動していますので、いずれは逮捕されるのではないかと考えています。
