アノニマス、「悪ふざけ」で欧州宇宙機関を攻撃 23
ストーリー by hylom
やられたほうはいい迷惑である 部門より
やられたほうはいい迷惑である 部門より
taraiok 曰く、
欧州宇宙機関(ESA)で先週末、アノニマスの攻撃により8107名分の名前、電子メールアドレスおよびパスワードのデータが流出した。最近はイスラム系テロ組織ISに対するサイバー攻撃などを行っているアノニマスだが、今回の攻撃は何か政治的な意図がある攻撃ではなく、悪ふざけによるものであったようだ(CSO、Slashdot)。
流出したデータはESAサブドメインである「due.esrin.esa.int」、「exploration.esa.int」と「sci.esa.int」のWebサイトに公開され、不特定多数の人が見られるようになっていたという。
流出したデータは別の問題も明らかにした。8,107のパスワードのうち、39%(3191)は、「ESA」、「469」、「136」といった3文字の短いパスワードだった。その次に多かったのは8文字のパスワード16%(1314)。このため、総当たり攻撃や辞書攻撃で簡単にクラックできたと考えられる。20文字以上の長さを持つパスワードを持つユーザーは、パスワード管理システムを用いていたという。
まるで今までが「悪ふざけ」では無かったとも言いたげだな (スコア:0)
好戦的な手下が先走ってやらかしちゃったとかそういうやつなんだろうか
Re:まるで今までが「悪ふざけ」では無かったとも言いたげだな (スコア:1)
統率された組織でないのがわかっているのだから、ISIS台頭前のアルカイダのように「北米を拠点とするアノニマスを名乗るサイバーテログループが事を起こした」のような表現のが良いと思う。
長すぎるなら、アノニマスの一派閥が・・・とか。
Re: (スコア:0)
正直、ISISと同じで
行動の後に主義主張をくっつけてるとしか思えない
Re:まるで今までが「悪ふざけ」では無かったとも言いたげだな (スコア:1)
手段のためには目的を選ばないんですね
Re:まるで今までが「悪ふざけ」では無かったとも言いたげだな (スコア:1)
どっかの課長みたいですね
Re: (スコア:0)
手下も何も、別に組織じゃないし、メンバー同士の繋がりも余りないからなぁ。
スクリプトキディが遊びで攻撃して、取り敢えずアノニマスって名乗っとけ!くらいのノリでしょ。
Re: (スコア:0)
Anonymousとなのるグループ同士攻撃し合えばいいのにな。
勝った方が正当にAnonymousを名乗れると。
# そういう自分もここではAnonymous。勝ってもないのに。
Re: (スコア:0)
そう言っても明確に統制された上下関係のある組織じゃないしな。
# その意味ではISISにも似ている
Re: (スコア:0)
極論を言えば、「悪人は殺しても犯罪ではない」みたいな感覚。
IS狙いであればサイバーテロをしても悪行ではないという独善的な考えでしょう。
その結果、関係のない人たちも被害を受けました。
ハクティビストの特徴です。
Re: (スコア:0)
全力じゃないから、「悪ふざけ」って事でしょ?
アノニマスが本気で攻撃したら、ロケットや人工衛星を使ってISISの本拠地や霞ヶ浦を攻撃してえらいことですわ。
Re: (スコア:0)
上下関係はないんだろうけど、「いつこのへんを攻撃」くらいの連絡は取ってることがわかってるし
実際、霞ヶ浦の件こそ一人の先走りだった [security.srad.jp]よ。
特に理由のない攻撃がESAを襲う——!! (スコア:0)
何はともあれ弱いパスワード使ってる職員には何らかの処分を下せよ。
情報セキュリティ再教育キャンプ送りとか。
Re:特に理由のない攻撃がESAを襲う——!! (スコア:1)
「貴様のパスワードは何だ!」
「Sir、xxxであります、Sir!」
# ダメじゃん
Re: (スコア:0)
しかし実際のところ強固なパスワード使うのは面倒だよな。
正直なところ会社のシステムで使うパスワードは
個人的に使ってるパスワードよりかなり単純だし
複数システムでも同じパスワード設定したりしてる。
まぁこうやって流出した時に文句言われないように
大多数のユーザよりはましなパスワードにしてるけど。
Re: (スコア:0)
「分かりやすい英単語の組み合わせでもいいから長いパスワードにしろよ」とか言われるが、
キーボードが使える環境ならいいけど、スマホやガラケーでの英語長文入力って結構めんどいんですよね…。
入力支援を使うとそれ自体が弱点となる罠(フリック一回で入力できる「ユーザ定義文字列」とか辞書変換登録とかでパスワードそのまんま入れちゃうとか)。
アノニマス宇宙人説 (スコア:0)
今適当に思いつきました。
Re: (スコア:0)
手段のためには目的を選ばないんですね。
#それはプラズマだと思います。
8文字では不十分なんですね (スコア:0)
辞書から容易に推測されるものはともかく
数字や大文字・小文字、記号を混ぜてもダメなんですかね
Re: (スコア:0)
1文字6bit(つまりBase64)とすると、8文字48bitですね。280兆(=280テラ)通りくらい。2.8GHzのプロセッサで1クロックに1回パスワードチャレンジできるとするなら、10万秒=28時間で総当たり可能。10クロックに1回なら10日だし、逆にコア数が10個あれば3時間くらいって感じじゃないですかね。
Re: (スコア:0)
並列処理だの量子コンピュータだの、更には通信ケーブルの信号のAmpあげさげを物理的に監視してパスワードぶっこ抜いたりだの、暗号処理に未来はあるんですかね・・・
文字列長よりも (スコア:0)
あまりにも短いパスワードは論外としても、文字列の長さに頼るよりも
アカウントロックまでの回数や
認証処理を延々と繰り返してくるクライアントのIPアドレス制限等を充実させるほうが
総当り等のようなゴリ押し技には効果的に思える。
Re: (スコア:0)
幾らかの失敗後にそういう制限をつけるのは正しいと思う。けど、なかなかうまく実装できてないところも多い。
それより、普通に考えて、総当たり攻撃を受ける側がそれほどのパフォーマンスがないと思うけどね。
1秒間に1億回の認証とか、普通できるもんなんだろうか。スラドとか1秒に1000トライでも厳しいんじゃなかろうか。
総当たりでごり押しするのって、ハッシュが漏洩済みで復元するためにするか、Googleなど大規模なサーバーパフォーマンスを持ってるターゲットくらいでは。そっちはアカウントロックなどやるだろうけど。
AppleがiCloudのFindMyIPhone機能でアカウントロックなど実装してなくてセレブがハックされたんだっけ。
まぁ、パスワードは長いに越したことはない。自分を守るために。サービス側が守ってくれるとは限らない。