Twitter から始まる Class Break

no extension

さて,先週 Twitter 界隈で騒ぎになった事件について。 ぼちぼちと情報が出始めているようなので,覚え書きとして記しておこう。

今回の事件について Bruce Schneier 先生によるエッセイが公開されている。

事件を一言で言うとこんな感じ。

Someone compromised the entire Twitter network, probably by stealing the log-in credentials of one of Twitter’s system administrators.
via On the Twitter Hack - Schneier on Security

件の「誰か」が Twitter のシステム管理者からどうやって認証情報を引き出したのかはよく分かっていないようだ。 従業員への賄賂の可能性やら SIM スワッピング攻撃やら,様々な可能性を考慮して捜査中らしい。

In the Twitter case this week, the hacker’s tactics weren’t particularly sophisticated. We will almost certainly learn about security lapses at Twitter that enabled the hack, possibly including a SIM-swapping attack that targeted an employee’s cellular service provider, or maybe even a bribed insider. The FBI is investigating.
via On the Twitter Hack - Schneier on Security

Twitter 側は今回の件に関して,被害に遭っていると思われるアカウントを一時停止した。 その後はほぼ復旧しているらしい。

In addition to our efforts behind the scenes, shortly after we became aware of the ongoing situation, we took preemptive measures to restrict functionality for many accounts on Twitter - this included things like preventing them from Tweeting or changing passwords. We did this to prevent the attackers from further spreading their scam as well as to prevent them from being able to take control of any additional accounts while we were investigating. We also locked accounts where a password had been recently changed out of an abundance of caution. Late on Wednesday, we were able to return Tweeting functionality to many accounts, and as of today, have restored most of the accounts that were locked pending password changes for their owners.
via An update on our security incident

今回のポイントは通常の認証の問題(パスワードの複雑性や2要素認証など)をすっ飛ばして,直にシステムに入り込みやりたい放題にされてしまったことだろう。 これでは私達一般利用者は対処のしようがない。

This kind of attack is known as a “class break.” Class breaks are endemic to computerized systems, and they’re not something that we as users can defend against with better personal security. It didn’t matter whether individual accounts had a complicated and hard-to-remember password, or two-factor authentication. It didn’t matter whether the accounts were normally accessed via a Mac or a PC. There was literally nothing any user could do to protect against it.
via On the Twitter Hack - Schneier on Security

Class Break とは,ひとつまたは関連する複数のシステム間で共通の脆弱性を持ち,その脆弱性を使って全てが一気に破壊される状況を指す。

Class breaks are security vulnerabilities that break not just one system, but an entire class of systems. They might exploit a vulnerability in a particular operating system that allows an attacker to take remote control of every computer that runs on that system’s software. Or a vulnerability in internet-enabled digital video recorders and webcams that allows an attacker to recruit those devices into a massive botnet. Or a single vulnerability in the Twitter network that allows an attacker to take over every account.
via On the Twitter Hack - Schneier on Security

Class Break については Bruce Schneier 先生のあの本にも言及がある。

技術が進むと標準化が進み、脆弱性が増える。同じ機能を持つ部分すべてを破壊する「クラスブレーク」が可能になるのだ(p.133)
セキュリティはなぜやぶられたのかより
システムがあまりに複雑になり技術的に高度になった結果、セキュリティが劣るかもしれない新しいものを使うより、クラスブレークのおそれがあっても実績のあるものを使い続けたほうがいいことが多くなったのだ(p.158)
セキュリティはなぜやぶられたのかより
画一的なシステムはクラスブレークをうけやすく、剛性が高い。多様な場合にもクラスブレークは可能だが、難しくなる。可能なかぎり多様性を選んだほうがいいのだ。画一性自体がセキュリティリスクになるが、そのリスクは、確立されていない方法を選んだ場合よりも小さいことが多い(p.176)
セキュリティはなぜやぶられたのかより

不幸中の幸いというか,今回は金銭絡みの比較的穏便(笑)な詐欺だったが,可能性としてはもっと大規模なこともできた筈である。

Imagine a government using this sort of attack against another government, coordinating a series of fake tweets from hundreds of politicians and other public figures the day before a major election, to affect the outcome. Or to escalate an international dispute. Done well, it would be devastating.
via On the Twitter Hack - Schneier on Security

あるいは今回は何かの前準備なのか? この件で4年前の米国大統領選挙を連想した人は多いだろうねぇ。

Class Break について面白い喩えがある。

In a sense, class breaks are not a new concept in risk management. It’s the difference between home burglaries and fires, which happen occasionally to different houses in a neighborhood over the course of the year, and floods and earthquakes, which either happen to everyone in the neighborhood or no one. Insurance companies can handle both types of risk, but they are inherently different. The increasing computerization of everything is moving us from a burglary/fire risk model to a flood/earthquake model, which a given threat either affects everyone in town or doesn’t happen at all.
via Class Breaks - Schneier on Security

洪水や地震への対策と同じように Class Break への対策も中長期的なタイム・スケールで考えないといけないということだろう。 先ず,どこに問題があるか洗い出すところからだけど(笑) そういう意味で今回のケースは(ゼロトラスト・セキュリティの観点からも)教訓になる筈である。

ブックマーク

参考図書

photo
セキュリティはなぜやぶられたのか
ブルース・シュナイアー (著), 井口 耕二 (翻訳)
日経BP 2007-02-15
単行本
4822283100 (ASIN), 9784822283100 (EAN), 4822283100 (ISBN)
評価     

原書のタイトルが “Beyond Fear: Thinking Sensibly About Security in an Uncertain World” なのに対して日本語タイトルがどうしようもなくヘボいが中身は名著。とりあえず読んどきなはれ。ゼロ年代当時 9.11 およびその後の米国のセキュリティ政策と深く関連している内容なので,そのへんを加味して読むとよい。

reviewed by Spiegel on 2019-02-11 (powered by PA-APIv5)