Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ホワイトハッカーなのだろうか?

私にはホワイトハッカーの業務範疇とは思えないのですが、将来有望なハッカーである事は間違いなく、他国への流出を恐れた刑罰なのかも知れません。

www.theverge.com

 

 

24歳のセキュリティ研究者は、Microsoft任天堂のサーバにハッキングし、機密情報を盗むことを認めたことを理由に、今日の刑務所を厳しく避けた。SlipstreamまたはRayleeとしてオンラインで知られているZammis Clarkは木曜日にロンドンの王立裁判所でコンピューターの不正使用の罪で複数の容疑で起訴され、マイクロソフト任天堂のネットワークにハッキングしたとして有罪を認めた

検察は、Clarkが2017年1月24日に内部のユーザー名とパスワードを使用してMicrosoftのサーバーにアクセスし、その後少なくとも3週間、Microsoftのネットワークに自由にアクセスするためにWebシェルをアップロードしたことを明らかにしました。クラークはそれから彼がマイクロソフトのネットワークを通して捜し、ファイルをアップロードし、そしてデータをダウンロードすることを可能にする複数のシェルをアップロードした。

ClarkがMicrosoftの社内Windowsフライトサーバを標的にした後、合計で約43,000ファイルが盗まれた。これらのサーバーにはプレリリース版のWindowsの機密コピーが含まれており、Windowsで作業している開発者に初期のベータコードを配布するために使用されます。Clarkは、リリース前のバージョンのWindowsに関する情報を入手するために、固有のビルド番号をターゲットにしています。これは、未リリースの製品、コード名、およびビルド番号の検索でおよそ7,500回でした。

(中略)

クラークは仮想プライベートネットワーク(VPN)を介してアクセスし、同様のソフトウェアを使用して任天堂の機密性の高いゲーム開発サーバーに侵入しました。これらのサーバーは未発表のゲーム用の開発コードを保存しており、2018年5月にNintendoが侵害を発見するまで、Clarkは2,365のユーザー名とパスワードを盗むことができた

(The Verge記事より引用)※機械翻訳

 

◆キタきつねの所感

2017年にFBIに逮捕された(ホワイト)ハッカーは、アンチウィルスソフト開発のMalwarebytes社に勤務していた24歳の研究者でした。彼は開発目的でマイクロソフトの社内サーバにアクセスする権利を持っていたのですが、そのアカウント経由で、マイクロソフト内のサーバにバックドアを仕掛け、チャットで仲間に公開し、海外ハッカーから不正アクセスされ、開発中のコードや製品情報、個人情報1000人+を含む、4.3万件のデータが不正にダウンロードされ、被害額は200万ドルにも及びます。

更に彼は、2015年、玩具メーカーVTECH社が1170万件の個人情報流出した件にも関わっていた事を認めていますが、2つのハッキング事件の結果として彼に課されたのは、懲役1年6か月、執行猶予1年3か月(執行猶予中に犯罪を起こした場合は懲役5年と無制限の罰金を課す付帯条件有)でしかありません。

 

VTECH事件は私も覚えていますが、香港のメーカーVTECH社の知的玩具(IoT機器)が攻撃され、IoT機器の脆弱性に対して警鐘が鳴らされた事件の1つです。(※HTTPプロトコル脆弱性を突かれた)

知育玩具のVTechに不正アクセス、約20万人の子供の個人情報が流出 - ITmedia NEWS

 

そんなホワイト企業に勤めていた『研究者』が、被害が出る事を承知の上で、仲間内とは言えハッカー仲間にバックドアを公開する事であったり、そもそも開発権限を使っての不正行為が、ある意味内部犯行な訳ですが、その信頼関係を壊してまで、自身の「探求心」を満たすというのは、私はホワイト側の人間ではなく、ダークサイドに落ちた人間なのだと思います。

 

映画ではよくアリガチなストーリではありますが、「セキュリティ研究者」が逮捕された、、といった記事の見出しを見ると何かモヤモヤするものがあります。

 

ホワイト側の企業も、もう少し特権アクセスに関する監視であったり、あるいは雇用前のスクリーニングをしないと、自社ビジネスが壊されてしまうという事を示唆していると言えるかも知れませんね。

 

 

f:id:foxcafelate:20190401151320p:plain

 

更新履歴

  • 2019年4月1日AM(予約投稿)