リスト攻撃|鉄道乗車券販売サイト

そろそろ年の瀬でありますが、中国の新年はご存知の通り旧暦(2月)がメインです。その旧暦もあと2ヶ月余というところで、恒例の里帰りの鉄道乗車券購入ラッシュ季節ともなります。

 
中国では12306が国営鉄道会社のホットライン番号であり、番号がそのままサイト名(12306.cn)にもなっております

f:id:alienware:20141227020150j:plain


先日(12月25日11時-北京時間)、サードパーティ運営の脆弱性届出公開サイトで、12306サイトに関する情報漏洩が公開されました。
●「大量12306用户数据在户粮网疯传包括用户帐号,明文密码,身份证邮箱等。。。」

直ちに大量の注目を浴び、メディアが一斉に報道を転載し始めました。

いろんな情報が錯綜するなか、果たして「サイト上の全ユーザログイン情報がクリアテキスト状態で保存されていた」のような噂も流れ、みんなが漏洩データを取得することに躍起になりました。

f:id:alienware:20141227011711p:plain
中でも本当にユーザデータが入ってると言われるているのが13万レコード(ファイルサイズ:十数M)のものであり、それ以外のは取得できないやら、ウイルスが仕込められてるやらでデマの可能性が大きく、データの真正性が取れない状態でした。

f:id:alienware:20141227014947j:plain


そこでネット上で流れている13万レコードの漏洩情報に対し、有力セキュリティベンダのKnownSecが検証を行いました。

その結果、この漏洩した情報はリスト攻撃によるものであり、サイトの脆弱性によるDB情報のまるごと抜き取りではない、との結論に至りました。

KnownSecが得た結論は次の通りです:
・当該131653レコードのユーザ情報は本物
・これら情報は攻撃者が12306サイトに対し、リスト攻撃をおこなったもの
・ネット上で流通していると噂されている、18Gもの12306サイトDB情報と言うのは、今のところ見つからず、噂の可能性が高い

彼らが行った実検証は以下のとおり:
・対象13万レコードから無作為に50組の情報を抽出し、12306サイトに対しログインを試みた。その結果、全部登録ができた
→内容はほぼ正確だと確認

・対象13万レコードから無作為に数個のメッセンジャーIDを抽出し、該当者とコンタクトを試みた結果、これらのユーザは乗車券購入クライアントをインストールしたこともなく、最近乗車券を購入したこともないことがわかった
→サードパーティ配布のクライアントによるアカウント情報窃取ではないことを確認

・アングラのDB流通業界で探ったところ、噂の18Gにものぼる12306サイトユーザ全データたるもの実物を「見た」ことのある人間は未だにいない
→18G全データが流通しているのはデマの可能性高し

・過去の漏洩した一部のDB情報(リスト情報)を照合したところ、多くのマッチング情報が見られた
→リスト攻撃によるものとほぼ確認

このようなユーザデータDBを取得するには通常3種類の手法があります:
1.サイトへの直接攻撃(インジェクションなどの脆弱性を利用)
2.サードパーティ製クライアントを配布(今回の場合は乗車券大量購入クライアント)
3.リスト攻撃


もちろん、今回の結論は12306サイトに脆弱性がない、と引証したものではないし、12306サイト全ユーザDBは抜かれてない、と確信できるものではなく、現在ネット上で流通し入手可能なこの13万レコードの情報に対しての結論である。


実は12306はstruts2の脆弱性が存在することがすでに同じ届出サイトで公開されております。
そうこうしてるうちに、なんとリスト攻撃を行った者達が神速で鉄道公安に逮捕されました。何というか。。。速すぎて、演出に見えてしまうのは自分だけでしょうか。

f:id:alienware:20141227014804j:plain

 

また、いつもの様に「自分の情報は大丈夫か?」と心配する大衆心理を利用して、「あなたの情報は漏れたDBに含まれてるかどうかチェックします」サービスサイトをすぐさま立ち上げた輩が、またもやいました。毎回大規模な情報漏洩が発生するたびにこのような一見親切で嬉しい無料サービスが提供されます。

f:id:alienware:20141227015248j:plain

本当に親切本位でこのようなものを提供する方もいると思いますが、多くはわざとユーザ入力情報を取得するためのもので、安直にデータを入力しないほうが賢明です。(中国でこのようなサイトはフィッシングサイトの部類に入ります)