不正アクセスを受けた大学のまとめ

　ここでは5つの大学に対して行われた不正アクセスをまとめます。不正アクセスを受け、実際に被害を確認したサイトは切断する措置を取っているようです。なお下記列挙するWebサイトも不正アクセスを受けた可能性があるだけで、実際にデータが漏えいしたかどうかは公式発表次第となります。また、個人情報の漏えいが無くとも、管理者のID、パスワード(またはパスワードハッシュ)が漏えいしているケースがあります。

ProjectWestWind 時系列のまとめ

以下日本時間で記載。

• 2012/08下旬
  • GhostShellが世界の100大学を対象に準備(不正アクセス)を開始。*9
• 2012/10/01
  • GhostShellが複数の大学組織へ不正アクセスを行い取得したと思われるデータを公開。
• 2012/10/02
  • 名古屋大学、学内より漏えいの可能性に関する指摘を受ける。
• 2012/10/03
  • JPCERT/CCが不正アクセスを受けた可能性のある国内大学へ連絡。
  • 各大学で不正アクセスを受けた可能性のあるサーバーの停止措置が取られる。
• 2012/10/04
  • 文科省が事実調査を開始。
  • 警察庁が警察本部を通じて事実確認を開始。
• 2012/10/05
  • 東京大学、不正アクセスを受けたことを公式に発表。

GhostShellとは何かをTwitterを使って調べてみた

　さて、GhostShellは「国際的ハッカーグループ」や「アノニマスとの関連がある」等とマスメディアによって報じられているものの、その具体像は明らかにされていません。GhostShellについて確認できる情報は私が知る限りではTwitterぐらいしかなく、ここではTwitterで把握可能な情報を元にまとめてみます。
　GhostShell関連と思われるTwitterのアカウントは全部で9つを確認しています。グループのアカウントであるGhostShell(@TeamGhostShell)の他、広報目的としてGhostShell News(@GhostShellNews)が存在します。またTwitterアカウントでGhostShellの関連を疑わせるものとして、次のアカウント7つが確認できます。

• DeadMellox(@DeadMellox)
  役割：GhostShellリーダー
  Twitter開始日：2012年4月27日〜
  Tweet数：69(2012年10月6日現在)

• Shic Boy(@S1k_B0y)
  役割：GhostShellメンバー。昨年8月Antisecに参加していた可能性がある。
  Twitter開始日：2011年8月23日〜
  Tweet数：47(2012年10月6日現在)

• Kenny Powers(@KennyPowurs)
  役割：アクティビスト。シリア方面に興味がある模様。(フォローアカウントより)GhostShellのメンバーかは不明。
  Twitter開始日：2012月7月4日〜
  Tweet数：27(2012年10月6日現在)

• MidasBank(@MidasBank)
  役割：GhostShellメンバー。アニメ「C」の真坂木が好きな模様。
  Twitter開始日：2012年7月18日〜
  Tweet数：34(2012年10月6日現在)

• OphiusLab(@OphiusLab)
  役割：GhostShellとの記述があるが、メンバーかは不明。
  Twitter開始日：2012年8月26日〜
  Tweet数：5(2012年10月6日現在)

• Echelon(@_Echel0n)
  役割：GhostShellメンバー。
  Twitter開始日：2012年5月6日〜
  Tweet数：15(2012年10月6日現在)

• CalmHurricane(@CalmHurricane)
  役割：GhostShellメンバーと名乗っているが、DeadMelloxにフォローされていない。
  Twitter開始日：2012年9月3日〜
  Tweet数：0(2012年10月6日現在)

　
　これらTwitterアカウントのフォロー・フォロワーの関係を分析したのが下の図です。これを見ると大半のアカウントもGhostShellをフォローしているものの、メンバーを名乗っていながらリーダーのDeadMelloxにフォローされていないアカウントもあり、実際これらが本当にメンバーであるかは分かりません。また今回のProjectWestWindについてツイートを行っているメンバーはDeadMelloxのみであり、この不正アクセスに他メンバーがどの程度の関与をしているか定かではありません。またTwitterで見られた情報であるため、この他に(Twitterを使っていない)メンバーがいることも当然考えられます。

GhostShellのグループアカウントは2008年から存在

　グループアカウントであるGhostShell(@TeamGhostShell)ですが、このアカウント自体は2008年9月1日から存在するアカウントです。このGhostShellが過去ツイートした記録を可能な範囲(2008年11月〜2012年10月)で確認しましたが2008年11月から2011年の12月までWebの記事をつぶやくことが大半であり、少なくともこれら期間の間に何らかの不正アクセスを行ったことの報告等のツイートは見られませんでした。紹介しているWeb記事もアメリカのクリエイター向けオンラインマガジンMAMi Magazineに関するものが多くを占めているようです。
　この傾向に変化が見られたのは2012年1月で、SOPAやMegaUpload閉鎖を受けてアノニマスが業界団体へDoSを行ったとされる#OpMegauploadについてつぶやいている形跡を確認できます。このOpMegaUploadの影響を受けたかは不明ですが、6月からは不正アクセスを行いそれをPastebin上に公開する活動を始め、以降このような不正アクセス関連の活動に関するつぶやきが中心となっているようです。
　Ghostshellのアカウントからアノニマスを名乗るTwitterのアカウントへメンションを送るなどして接触を取り始めたのは今年6月に入ってからです。また、リーダーのDeadMelloxは2012年4月27日に登録が行われています。これを元にしてGhostShellが「今年5月頃から活動を始めた」と言われているのでしょう。
　GhostShellのツイートでは、過去アノニマスが行ったオペレーションへの関連性は確認できなかったものの、GhostShellのメンバーはアノニマス系アカウントをフォローしていたり、またAntisecの活動にも関与しているメンバーもおり、メディアはこれを見てアノニマスとの関連が疑われるとして報じているのかもしれません。

過去GhostShellで行われた活動

　GhostShellは過去にも不正アクセスを行い、そのデータを公開する行為を行っています。最近では2012年8月28日に軍や銀行等100のサイトを対象に100万件のデータを公開したと声明「ProjectHellFire」を出しています。この時も日本国内のサイトが不正アクセスを受け、データが公開されました。*10 *11 *12不正アクセスの手口は目新しいものではなく、SQLインジェクションがよく使われています。今回のProjectWestWindで狙われた大学のWebサイトも公開されていたURLからSQLインジェクションの脆弱性を突かれ、データが漏えいした可能性があります。

まとめ

　GhostShellが不正アクセスを行った国内の大学に関する情報と、実態が明らかになっていないGhostShellに関する情報をTwitterを元に分析を行いました。
　なお、Ghostshellは次のプロジェクトの準備をしている旨ツイート*13をしており、またSQLインジェクション等の脆弱性が残存する組織のWebサイトを対象に不正アクセスを行う可能性があります。グループが行っている手口から、主要なCMSの既知の脆弱性をスキャナー等で検索し手当たり次第ターゲットにしていると考えられるため、ウェブサイトの管理者の方は改めて、自身が管理されているCMSに脆弱性が残存していないか確認されることを推奨します。

更新履歴

• 2012/10/06 PM 新規公開
• 2012/10/07 AM Twitterの相関分析に誤りがあったため修正。
• 2012/10/07 AM 時系列まとめを追加。
• 2012/11/03 PM 大学による公式発表を反映。