« ダイソー | メイン | ゴーストカラーについて »

「ほこ×たて」の「ほこ」の裏側について

この記事は妄想です。

6月9日(日) に放映された「ほこ×たて」の「ほこ」の裏側について

これは当社にとって大変重要なことですので、日本語で失礼いたします。

2013年6月9日に放映されました、フジテレビ「ほこ×たて」に関しまして、
反響が大きいようですので撮影の裏側をご紹介いたします。

まず、番組コーナー内の冒頭にご紹介いただきました楽天については、
弊社がどのような会社なのかを簡単に紹介するということでお見せしました。
楽天はメールによるSPAMで集客を行なっておりますが、その後の対決には一切使用していま
せん。
また、プリクラの機械をハッキングするシーンは
wifi クラックツールを使った単純なWEPパスワードクラックです。
スマートフォンのアプリでも認証の必要なwifiルーターに侵入する
ツールとして沢山ありますね。

実際の対決に際して攻撃側に求められたのは、サービスパックや修正プログラムの全く当てられ
ていないパソコン上で、
脆弱性が確実に存在しているサービスを攻撃し、容易に侵入され得る環境で写真を見つける、と
いうことでした。
これは事前の説明から簡単にクリア出来ると思いました。
ところが当日知ったのですが、OSその他のミドルウエアは脆弱性を残したままですが、その上
で様々な対策が施してあるという事前の説明にはない
ルールが追加されておりました。

攻撃のための環境については、事前には内容がわからない状態で撮影直前に与えられ、限られた
時間内での攻撃が要求されました。
通常我々ハッカーは企業のPCを狙うときは金曜日の18:00から月曜日の朝9:00頃まで
の60時間程度をフルに利用します。
ゴールデンウィークや年末年始などの長期休日もねらい目になります。
それでは撮影が大変だからという理由で意味なく平日の18:00−翌9:00の15時間に設
定されておりました。

写真についてはファイル名だけで探すのですから、意味がわかりません。
ハッカーが侵入する場合、明確な1ファイルを標的にすることはあまりなく、侵入してめぼしい
情報を漁る、という
行動パターンがほとんどです。
よくある教科書どおりのハッキングで侵入できると思いました。


1台目のパソコンは以下のような構成となっていました。

・Windows 2000 Server 日本語版(サービスパックなし)
・IIS 5.0によるサービス公開

2000年2月の発売当時のままということで、13年間の間に見つけられた多数の脆弱性を抱えた状
態でしたので
侵入は簡単でした。ただし、以下のような対策を施されていたようです。

・脆弱性を突く典型的な攻撃の阻止(一般的なツール利用の無効化)
・ファイアウォールによるftp、tftpなどのファイル送受信の無効化
・同名ファイルを多量に用意する
・cmd.exeをリネームしておく(なんでだ!)

ターゲットにした脆弱性はIISのオーバーフローです。
このサービスでリモートディスクトップを有効に設定し、リモートログインいたしました。

ツールを使っての侵入方法では一般的な攻撃はあまり効果がありませんでした。
防御側は設定したら終わりです。また、ファイルの送受信を無効されておりましたが
一般的なハッキング方法のIISのフォルダーに写真をリンクし、こちらのブラウザ経由で持ち
去ることが可能でした。


多数の同名ファイルを用意するというのは想定内でしたが、takahiro 氏のことをよく知らず、
絞り込むのに時間がかかりました。「画像を『縦』に3分割した」というヒントがなければ絞り
込めなかったと思います。
ほとんどクイズの世界だと思います。

大量のダミーファイルですが、インターネット上からタカアンドトシさんの写真を入れたようで
した。
完全に著作権法違反です。また、ダウンロード禁止法にも引っかかると思います。放送ではモザ
イク処理をしておりました。
防御側は違法行為で防御しているので、こちらにも相当の取引条件になるのでは、と思いました。

縦に3分割されていたということで、縦長の写真を探しました。
使ったツールは Excel です。容量の大きいファイルだよ、というヒントも頂きました。

日本でよく使う warez 等の形式でダミーのファイルがありましたが、
使った形跡がなく、ダミーだとわかりました。

Metasploit という攻撃ツール使えば簡単だろう思ったのですが対策がうたれておりました。
また、cmd.exe をリネームしていたので、コマンド操作ができず
時間を消費しました。ftp もファイヤーウォールでブロックされていました。
ファイルを取得して解析するといった方法がとれないので
もう面倒だし、負けでいいです。ってテレビの人に言ったら
それでは番組が成立しない、って言われしぶしぶやることにしました。
じゃあ途中でヒントくれる?と聞いたらいいよ、って言いました。
こんなところに最高のセキュリティホールがありました。


※ちなみに、番組内で防御側に「30分で突破した」という表現がありましたが、
これは OS の脆弱性を突破した時点です。
「設定システム強化 Metasploit対策」が面倒でした。
パスワードわからないし、もう負けでいいです。ってあきらめました。
普通はこの程度のセキュリティ対策があったら、面倒なんであきらめます。
それじゃあ面白くないっていうので防御側のパスワードをテレビ局の人が
教えてくれました。administrator のパスワードがわかれば
こっちのもんです。
でも、前に書いたように、面倒なんですよ。これ1台で時間の半分
消費しているんですから、単純に計算して、3台のハッキングは時間が足りません。
この時点で、このルールではセキュリティ側の勝利です。
そこで、ソーシャルエンジニアリングにターゲットを変更しました。

さて、次に2台目のパソコンについての話をさせていただきます。
2台目のパソコンは以下のような構成となっていました。

・Windows XP (サービスパックなし)
・SSH、リモートデスクトップによって外部からログイン可能
・誰でも利用できるパソコンを想定し、ログインID、パスワードが攻撃側にあらかじめ通知され
ている
・ウイルス対策ソフトなし

こちらについても、1台目と同様に10年以上の間に発見された多数の脆弱性を抱えたままです。
特定の写真を探す手段としては時間内で探す必要があるうえ、ルール上、1台目とは異なる
セキュリティレベルであることはわかっていましたので面倒だな、と思いました。
でも、そこは意地があるので、脆弱性をついてこじ開けようとおもいました。
残念ながら開きませんでしたので、事前に教えてもらっていた方法で侵入。
ログインID、パスワードが事前にわかっているので mstsc で簡単に
リモート接続いたしました。
ところが、このPCはドライブが暗号化されておりました。
さらに、暗号化ソフトが多数インストールされておりました。
通常ですと、暗号化ソフト同士は親和性がなく、お互いに殺しあうので1つの
方式のみで運用するのが一般的です。
ドライブの暗号化には TrueCrypt が使用されているようでした。


フォレンジックをかけましたがアンチフォレンジック処理がしてあったため
何かわかりませんでした。
パスワードを間違えると2時間ロックされました。
総当りプログラムが使用できません。
administrator が使えないのは厳しいです。
もう10時間以上費やしてきました。

もういいでしょ?とテレビ局の人にいったら
うんいいよ、しょうがないと言われました。

さて、ここからはオフレコです。そうです。ギブアップは見せかけです。
負けました、どうやって隠したんですか?と質問しました。
テレビ局の人は、復号化のパスワードを教えてくれました。
「H0k0*T@te」(大文字エイチ、ゼロ、ケイ、ゼロ、アスタリスク
、大文字ティ、アットマーク、ティ、イー)、でした。
番組名由来のパスワードでした。
ロシア出身ではこの組み合わせは気がつきませんでした。
そしてそこそこ強力ですから。
yuko.jpg も入手しました。


答え合わせと称して、3台目に実は挑戦していました。
ちょっと3台目はどんなのか知りたかったのです。
さて、最後の3台目のパソコンについての話をさせていただきます。
3台目のパソコンは以下のような構成となっていました。

・Windows 7 (サービスパックなし)
・すべてのポートが閉鎖
・侵入対策プログラムインストール済み
・ウイルス対策ソフトあり
・セキュリティルータ使用可

このPCには現在、考えられる限りのすべてのセキュリティを施してありました。
ポートスキャンを行なったら、IPアドレスが接続遮断されます。
IPアドレスを偽装しつつ、ポートスキャンを行いました。
実際は接続遮断ではなく、TCP/IPブラックホールのような形で
パケットが届いていないように見え、ACKを長時間待ってしまうというものです。
しかしポートスキャンにおいて、ローカルIPは弾かないことが判明しました。
外部IPは脅威対策で遮断されますが、ローカルIPの 192.168.0.0/24 は
スルーしました。
この特性を利用しつつ、まず、セキュリティルータの無効化から始めました。
通常 192.168.0.1 にGWがありますので、ID と password はソーシャルエンジニアリングで
入手しました。(単に聞いただけですが)
設定画面で、すべてを disable にすることで、大量のパケット、異常なパケットも
PCに届くようになりました。
BIG packet を連続で送ると、処理能力に追いつかないのか
PCのCPUファンが回りだし、熱暴走寸前になりました。
見ての通り、PCは透明な密封された箱に入っており冷却が十分ではない
状態でしたので熱暴走気味になりました。
熱暴走気味になるとPCは処理能力を下げて処理を継続しようとします。
さらに処理能力が落ちるのです。
そこで、あるタイミングでパケットのリクエストが侵入対策ソフトを
スルーするようになりました。
侵入対策ソフトは自身がおかしくなった場合、処理を行なわずに
パケットをスルーするようになっています。そこを突きました。
それを利用し、初期の windows7 の脆弱性である
ftp ポートから侵入し、admin の権限を奪取しました。

ドライブは暗号化されており、2台目のPC同様復元するも目的のファイルは
割符ソフトで分割されており、分割したファイルもダミーファイルに
紛れ込ませてありました。
つまり写真は3分割じゃないじゃない。さらに分割されていました。
ファイルは a-z までのアルファベットの1文字ファイルが大量にありました。
分割は手動ではなく自動的に行なったと思ったので、
ファイルサイズでソートしました。
すると同じファイルサイズのファイルの破片が 5つ見つかりました。
t.xxx o.xxx s.xxx h.xxx i.xxx この5ファイルでした。
この割符の復号化にもパスワードが必要でした。
総当りと辞書攻撃をしましたが、復号化できそうにありませんでした。
テレビ局に人に聞いたら「00Beik@!」(ゼロ、ゼロ、大文字ビー、イー
ケイ、アットマーク、ビックリマーク」でした。
「ゼロゼロ米価」でしょうか、TPPによって米価があがるという意味でしょうか。
日本語は難しくわかりません。
これにより
toshi.jpg が取得できました。

最後に、この3つの画像をgimp で合成しの画像を合体させ
復元化しました。答え合わせと称して、絵を完成させました。
バイナリ単位で元の画像と比較して差異がないことを確認したい。
記念にもらってもいいですか?と聞いたらいいというので
USBにコピーいたしました。

はい、元の画像を奪取成功です。時間がかかりましたが成功です。
これを取得した時間はゲーム開始後12時間35分でした。
我々は勝利宣言いたしました。
規定の15時間以内に元の画像を復元し、奪取する、という
ゲームに勝ったのです。
テレビ局の人は「何を言っているの?あなた方は負けを認めたじゃない
だから答え合わせをしているだけですよ」と言っていました。
私たちは「ギブアップは見せかけで、この画像を入手するための嘘です」
と言いましたが
テレビ局の人は「ダメ、ダメ、言い訳、言い訳」と取り合いませんでした。
ソーシャルエンジニアリングとは何か、まったく理解していませんでした。
我々は無知な人を相手にしてもしょうがないとそのまま帰りました。
防御側の方は「ソフトが破られたわけじゃない」と言っていました。
勝敗はあきらかに我々の勝ちでした。
ソーシャルエンジニアリングは無効というルールはありませんでした。

放送を見て、途中で嘘のギブアップをした部分で我々が嘘の負けを
言っている部分で編集がカットされております。
それはソーシャルエンジニアリングの途中なのであります。

皆様はお気づきでしょうが、通常のほこたてではあるはずの
最後の握手のシーンがありませんでしたよね。
我々は拒否し、帰ったからです。
また、なぜ、時間がいっぱい余っているのにギブアップしたのでしょうか。
このルールでは勝てないギブアップだ、の意味を正しく理解した人だけが
この勝負の結果を知ることでしょう。
15時間のタイムアウトするまでが勝負であるにも関わらず、です。

対コンピュータでセキュリティホールがある場合はそこを突きますが
対人でのセキュリティホールがある場合はソーシャルエンジニアリングが
有効だということはハッカーならみんな知っているはずです。
今回の場合はテレビ局の人がソーシャルエンジニアリングの対象に
なりました。
初回の2回心が折れて、侵入できないよ、終わりでいいか?
パスワード教えてくれたら続きは出来るけど、と聞いたのも
小さい条件を飲ませるための演技です。
小さい条件を飲ませたら、その条件を徐々に大きくしていく、
それがソーシャルエンジニアリングの技術なのです。
最後にはオリジナルの写真ももらえましたからね。油断しすぎです。

最後に、
ネットエージェントの製品はとてもすばらしかったです。ぜひお使いください。
しかしテレビ局の人がソーシャルエンジニアリングに対し、まったく無知で
あったことはとても残念に思います。

また、楽天をご利用の皆様は安心して買い物を楽しんでください。
by ホワイトハッカー Do the good hacking!
追伸
そういえば、楽天の決済システムに仕掛けた決済時に発生する
0.5ポイント未満のポイントをすべて集めて1つの口座に送るシステムは
順調に稼動しているよ、ここの薄給だけじゃやっていけないからね。
毎月50万ポイント前後が溜まってる。おっと内緒だったね。
この仕組みは経理連中や、ミッキーも見抜けないだろ。
あいつらはシステムにも数字にも弱いから。

[an error occurred while processing this directive]

トラックバック

にせトラックバックURL:
http://ftvjapan.ddo.jp/mt3/mt-trackback.cgi/234

このエントリー本当のトラバ
http://ftvjapan.ddo.jp/mt3/mt-tb3.cgi/1716

 ←tb3 を tb4 に変更してください

コメント

TVみました
そんな裏話があったんですね
この番組は良く見ていますがたまにルールで
ん?と疑問になることがありますね
一方にめちゃめちゃフリだって
気が付くことあります

>ダークライさん
そうですね。
あと、セキュリティの対決は
倫理上の問題があるので
ハックする側が勝ってはいけないという、ルールがあるようです。
金庫x鍵師とかね。

コメントを投稿

(いままで、ここでコメントしたことがないときは、コメントを表示する前にこのブログのオーナーの承認が必要になることがあります。承認されるまではコメントは表示されません。そのときはしばらく待ってください。)