パスワードを忘れた? アカウント作成
12621638 story
情報漏洩

アノニマス、「悪ふざけ」で欧州宇宙機関を攻撃 23

ストーリー by hylom
やられたほうはいい迷惑である 部門より
taraiok 曰く、

欧州宇宙機関(ESA)で先週末、アノニマスの攻撃により8107名分の名前、電子メールアドレスおよびパスワードのデータが流出した。最近はイスラム系テロ組織ISに対するサイバー攻撃などを行っているアノニマスだが、今回の攻撃は何か政治的な意図がある攻撃ではなく、悪ふざけによるものであったようだ(CSOSlashdot)。

流出したデータはESAサブドメインである「due.esrin.esa.int」、「exploration.esa.int」と「sci.esa.int」のWebサイトに公開され、不特定多数の人が見られるようになっていたという。

流出したデータは別の問題も明らかにした。8,107のパスワードのうち、39%(3191)は、「ESA」、「469」、「136」といった3文字の短いパスワードだった。その次に多かったのは8文字のパスワード16%(1314)。このため、総当たり攻撃や辞書攻撃で簡単にクラックできたと考えられる。20文字以上の長さを持つパスワードを持つユーザーは、パスワード管理システムを用いていたという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 好戦的な手下が先走ってやらかしちゃったとかそういうやつなんだろうか

    • 統率された組織でないのがわかっているのだから、ISIS台頭前のアルカイダのように「北米を拠点とするアノニマスを名乗るサイバーテログループが事を起こした」のような表現のが良いと思う。
      長すぎるなら、アノニマスの一派閥が・・・とか。

      親コメント
    • by Anonymous Coward

      正直、ISISと同じで
      行動の後に主義主張をくっつけてるとしか思えない

    • by Anonymous Coward

      手下も何も、別に組織じゃないし、メンバー同士の繋がりも余りないからなぁ。
      スクリプトキディが遊びで攻撃して、取り敢えずアノニマスって名乗っとけ!くらいのノリでしょ。

      • by Anonymous Coward

        Anonymousとなのるグループ同士攻撃し合えばいいのにな。
        勝った方が正当にAnonymousを名乗れると。

        # そういう自分もここではAnonymous。勝ってもないのに。

    • by Anonymous Coward

      そう言っても明確に統制された上下関係のある組織じゃないしな。

      # その意味ではISISにも似ている

    • by Anonymous Coward

      極論を言えば、「悪人は殺しても犯罪ではない」みたいな感覚。
      IS狙いであればサイバーテロをしても悪行ではないという独善的な考えでしょう。
      その結果、関係のない人たちも被害を受けました。
      ハクティビストの特徴です。

    • by Anonymous Coward

      全力じゃないから、「悪ふざけ」って事でしょ?
      アノニマスが本気で攻撃したら、ロケットや人工衛星を使ってISISの本拠地や霞ヶ浦を攻撃してえらいことですわ。

      • by Anonymous Coward

        上下関係はないんだろうけど、「いつこのへんを攻撃」くらいの連絡は取ってることがわかってるし
        実際、霞ヶ浦の件こそ一人の先走りだった [security.srad.jp]よ。

  • by Anonymous Coward on 2015年12月18日 7時18分 (#2937054)

    何はともあれ弱いパスワード使ってる職員には何らかの処分を下せよ。
    情報セキュリティ再教育キャンプ送りとか。

    • 情報セキュリティ再教育キャンプ

      「貴様のパスワードは何だ!」
      「Sir、xxxであります、Sir!」
      # ダメじゃん

      親コメント
    • by Anonymous Coward

      しかし実際のところ強固なパスワード使うのは面倒だよな。

      正直なところ会社のシステムで使うパスワードは
      個人的に使ってるパスワードよりかなり単純だし
      複数システムでも同じパスワード設定したりしてる。

      まぁこうやって流出した時に文句言われないように
      大多数のユーザよりはましなパスワードにしてるけど。

      • by Anonymous Coward

        「分かりやすい英単語の組み合わせでもいいから長いパスワードにしろよ」とか言われるが、
        キーボードが使える環境ならいいけど、スマホやガラケーでの英語長文入力って結構めんどいんですよね…。
        入力支援を使うとそれ自体が弱点となる罠(フリック一回で入力できる「ユーザ定義文字列」とか辞書変換登録とかでパスワードそのまんま入れちゃうとか)。

  • by Anonymous Coward on 2015年12月18日 7時23分 (#2937056)

    今適当に思いつきました。

    • by Anonymous Coward

      手段のためには目的を選ばないんですね。

      #それはプラズマだと思います。

  • by Anonymous Coward on 2015年12月18日 11時11分 (#2937151)

    辞書から容易に推測されるものはともかく
    数字や大文字・小文字、記号を混ぜてもダメなんですかね

    • by Anonymous Coward

      1文字6bit(つまりBase64)とすると、8文字48bitですね。280兆(=280テラ)通りくらい。2.8GHzのプロセッサで1クロックに1回パスワードチャレンジできるとするなら、10万秒=28時間で総当たり可能。10クロックに1回なら10日だし、逆にコア数が10個あれば3時間くらいって感じじゃないですかね。

      • by Anonymous Coward

        並列処理だの量子コンピュータだの、更には通信ケーブルの信号のAmpあげさげを物理的に監視してパスワードぶっこ抜いたりだの、暗号処理に未来はあるんですかね・・・

  • by Anonymous Coward on 2015年12月18日 13時05分 (#2937205)

    あまりにも短いパスワードは論外としても、文字列の長さに頼るよりも
    アカウントロックまでの回数や
    認証処理を延々と繰り返してくるクライアントのIPアドレス制限等を充実させるほうが
    総当り等のようなゴリ押し技には効果的に思える。

    • by Anonymous Coward

      幾らかの失敗後にそういう制限をつけるのは正しいと思う。けど、なかなかうまく実装できてないところも多い。
      それより、普通に考えて、総当たり攻撃を受ける側がそれほどのパフォーマンスがないと思うけどね。
      1秒間に1億回の認証とか、普通できるもんなんだろうか。スラドとか1秒に1000トライでも厳しいんじゃなかろうか。

      総当たりでごり押しするのって、ハッシュが漏洩済みで復元するためにするか、Googleなど大規模なサーバーパフォーマンスを持ってるターゲットくらいでは。そっちはアカウントロックなどやるだろうけど。
      AppleがiCloudのFindMyIPhone機能でアカウントロックなど実装してなくてセレブがハックされたんだっけ。

      まぁ、パスワードは長いに越したことはない。自分を守るために。サービス側が守ってくれるとは限らない。

typodupeerror

物事のやり方は一つではない -- Perlな人

読み込み中...