LulzSecの50日間の軌跡 (Part 1)

security

散々世間を騒がせてきた LulzSec。活動を開始して 50日目となる 6/26に活動終了を宣言した。*1

50 days of Lulz

We are Lulz Security, and this is our final release, as today marks something meaningful to us. 50 days ago, we set sail with our humble ship on an uneasy and brutal ocean: the Internet. The hate machine, the love machine, the machine powered by many machines. We are all part of it, helping it grow, and helping it grow on us.

はたしてこれは彼らの言う通り予定された行動だったのか、追い詰められた末の苦渋の選択だったのか。真相はまだわからないが、彼らの 50日間の活動が与えた影響は決して小さくはない。謎解きは一旦あとまわしにして、ここではその活動の軌跡を追ってみたい。

(注) 書き始めたらいろいろ脇道にそれて長くなりそうなので、3回くらいに分けることにしました。今回は (Part 1) です。

すべてはここから始まった

彼らは最初から Twitterをうまく活用した。LulzSecの Twitter担当者(Topiaryだと言われている)の才能によるところが大きいだろう。活動終了時点でなんと約28万人ものフォロワーを集めている。2ヶ月足らずでこの数字は驚異的だ。*2

その記念すべき(?)最初の Tweetがコレ(5/7)。最初のターゲットは Fox.comだった。

そして最初のリリースは Foxのオーディション番組 X Factorの応募者情報だった。すでにその数日前から不正侵入の件はニュースになっていたので、LulzSecは事後に犯行声明を出した形になった。


なぜこれが最初のターゲットに選ばれたのかはわからない。ただこの番組はアメリカではとても有名で、情報漏洩はメディアに大きく取り上げられた。また応募者の中に未成年者がかなり含まれていたこともあって関心は高かった。世間の注目を浴びるという点では成功したといっていいだろう。*3 *4


続いて彼らは Fox.comの内部情報もリークした(5/10)。これには、400人近いユーザのメールアドレスとパスワード(クラック済み)が含まれていた。さらに彼らは、入手したメールアドレスとパスワードを利用して LinkedInにアクセス。同じパスワードを使い回していた10人以上のユーザのアカウントにログインしてデータを改ざんした。


それまで特に活動の実績がなかった LulzSecは、この Foxへの侵入事件で突如として表舞台に姿を現した。しかしこの時点では彼らの正体は全く不明だった*5。
またこの頃は「我々は政治的な動機は持っていない。単に "for the lulz" でやっているだけだ。」と主張していた*6。あとになって考えてみれば、これは本音を隠すための建前だったのか。あるいは途中で路線変更を余儀なくされたのか。

Sonyが狙われた…

彼らが次に目をつけたのは PSNとSOEからあわせて1億件近い情報漏洩を起こし、騒動の渦中にいた Sonyである。ちょうどこの頃、PSNが欧米で再開されたものの、すぐにパスワードリセット処理の問題が発覚。その後、Sony関連サイトで次から次へと問題が見つかり、祭の様相を呈していた時期である。

LulzSecもそこに目をつけたのか、まずは sonymusic.co.jpで SQL Injectionを発見し、その事実を公表した(5/23)。ただしこの時は特に個人情報などの漏洩はなかった。しかしその数日後、別のオペレーションを遂行中であることを明らかにしている。

LulzSec hates Sony too - Pastebin.com

@LulzSec was here you sexy bastards!
This isn't a 1337 h4x0r, we just want to embarrass Sony some more. Can this be hack number 8? 7 and a half?!
Stupid Sony, so very stupid:

PBS許すまじ!

「Sonyは明日だ、今日は別のがある」という Tweetとともに始まったのが、PBS (Public Broadcasting Service)への攻撃だ(5/30)。

彼らはまず http://www.pbs.org/lulz/ を Nyan Catの画像に改ざん。画像には "All your base are belong to LulzSec"という文字が *7。

さらに 1996年に亡くなったアメリカのラッパー Tupacがニュージーランドで生存している、という偽の記事を PBSのWebサイトに掲載した。記事のアーカイブはココで見られる。

そして最後の止めに、PBSの内部情報を大量にリーク。プレスルームやスタッフのDBに含まれるユーザ情報などを公開した。

なお LulzSec自身が PBS.orgにどのように侵入したかを解説している。

  • PBS.org was owned via a 0day we discovered in mt4 aka MoveableType 4.
  • Once on the boxES, we uploaded php shell.
  • Once we got access to php shell, we rooted the ancient pbs.org boxes AKA 2.4.21 kernels and 2.6.18 fro 2008.
  • We rooted the boxes. We did not destroy the boxes or content. No rm's. We did not take over the homepage of pbs.org although we could have. You know what you call that? class.

ここで彼らの言っている MovableTypeの 0day脆弱性は、後日 Six Apartも認めて修正されている。LulzSecが自分達でこの脆弱性を見つけたのか、他から提供されたものかは不明だ。


さてそもそも LulzSecはなぜ PBSをターゲットにしたのか。実は前週の 5/24に PBS Frontlineによるドキュメンタリー "WikiSecrets"において、WikiLeaksの Julian Assangeへのインタビューが放映されている。(インタビュー内容は Webでも見られる。)
これに対して WikiLeaksは「報道内容は不正確であり WikiLeaksに対して誤解を与える」として強く反発。インタビューの全ての記録を自分達で公開している。LulzSecも声明の中で「WikiSecretsを見たがイマイチだった」と述べており、どうやらこれが原因のようだ。このあたり、WikiLeaksを公然と支援している Anonymousとの類似性が伺える。


ここまでの初期のリリースでは、彼ら自身の Webサイトがまだなかったため、Twitterで告知して Pastebin/Pirate Bay/Mediafireにデータをアップロードするという方法が用いられていた。

2600.net とのいざこざ

LulzSecの活動が世間を賑わせるようになるとともに、その活動に対抗する動きもではじめた。なかでも The Jester (th3j35t3r) はその筆頭である。The Jesterは反WikiLeaksや反イスラムなどを掲げる活動家 (hacktivist) で、WikiLeaksを支援する立場の Anonymousとは元々敵対関係にある。LulzSecも The Jesterとそのフォロワー達と敵対し、彼らが利用している 2600.netを攻撃ターゲットにした。5/31から6/1にかけて、irc.2600.netに対して DDoS攻撃を行ったりしている。(The Jesterはその後、LulzSecの正体を追求する活動に参加。後述。)

この数日後にこの時期(5/31-6/4)の IRCログが内部のメンバーによってリークされている。そのログにも 2600.netへの DDoSの様子が記録されている。(後述)

Sony + Ownage = Sownage

Sonyに対して別のオペレーションを実行中との事前予告があったが、その数日後にリリースが行われた(6/2)。対象になったのは、Sony Pictures, Sony BMG Belgium, Sony BMG Netherlandsの3つ。SQL Injectionにより情報を不正に入手したようだ。なかでも Sony Picturesからは100万件近い大量の個人情報が流出したとされた。しかし Sony Picturesが後に確認したところ、影響があったのは約37,500人だということだ。どうも LulzSecは約100万のレコードにアクセスできたものの全てを取得したわけではないらしい。

また彼らはこのタイミングにあわせて、自分達の独自ドメインのサイト lulzsecurity.comを立ち上げた。Whois情報によると、このドメインは 6/1にバハマのレジストラ internet.bsで登録されたものであり、IPアドレスからは Cloud Flareのサービスを利用していることがわかった。Cloud Flareはホスティングサービスではないので、コンテンツはどこか別のサーバ上にある。そのためこれ以降、LulzSecに敵対する勢力は実際のサーバの IPアドレスを探索することに必死になった。*8

FBIも怖くない!?

LulzSecはかなり前から #FuckFBIFriday などのハッシュタグでつぶやいており、FBIを敵対視していることをうかがわせた。そして Sownageに続いてFBI関連情報をリリースした(6/3)。ターゲットになったのは Infragardのアトランタ支部。Wikipediaによると、Infragardは FBIとアメリカの民間企業が協力して運営する非営利団体で、情報の共有や分析などを行っている。LulzSecはそのサーバに侵入してデータを不正に入手、約700MBのデータを BitTorrentで放出した。

しかし中身をよく見てみると、実際に Infragardから流出したのは約170人分のユーザIDとパスワードだけ。それ以外は実は UnveillanceというBotnetの研究などを行っている企業の社内メール約1,000通だった。LulzSecはこの会社のオーナーが自分の会社と Infragardで同じパスワードを使い回していることを見つけ、途中からこの会社にターゲットを切り替えたようだ。このユーザになりすましてメールデータを全て取得したのち、IRCでユーザに接触。そのときの IRCログもあわせて公開している。LulzSecによると、このユーザは侵入の件について黙っていてほしい、自分の敵を攻撃するのに協力してくれれば報酬を払う、と懐柔をはかろうとしたらしい。
ところが Unverillance側は真っ向からこれに反論。プレスリリースの中で、LulzSec側が金銭を要求したと主張した。これには LulzSecも黙っておらず、再び主張を繰り返した。


真相は当事者にしかわからない。しかし流出したメールから、Unveillanceはリビアへのサイバー攻撃に関与した疑いがもたれている。また同じアトランタに拠点のある Endgame Systemsの名前もメールにでてくる。Endgame Systemsは元ISSã‚„å…ƒCIAのメンバーが 2010年に立ち上げた謎の多い会社で、HBGary事件の際にメールのやりとりに登場したことで注目された会社である。(このあたりの事情については Barrett Brownの OpMetalGearがまとめている。コチラを参照。)
どちらも特殊な事情を抱えた会社のようだ。


(Part 2)へと続く…のかな?

*1:日本のメディアはほとんど「ラルズセック」と呼んでいるが、元々の呼び方になるべく忠実に「ローズセック」と呼ぶのが通である。または「爆笑セキュリティ」でも可。

*2:6月にはいった時点ではフォロワーはまだ 7,000程度だったので、実質的には1ヶ月もない。その後のリリースで急速に増えたことになる。

*3:Hacker Group Raids Fox.com, Targets FBI

*4:約73,000人の個人情報が流出し、未成年者が1万人以上含まれていた。ただし COPPAにより、13才未満は含まれていない。

*5:ただしこの頃から Anonymousに声をかけたりしている。さらに LulzSecに対して Kaylaと呼びかける Tweetに反応したりもしている。Kaylaは HBGary侵入事件に関わったとされる Anonymousで、LulzSecメンバーと考えられている。

*6:https://twitter.com/#!/LulzSec/status/68061814814031872

*7:これは "All your base are belong to us" という有名なミームをもじったもの

*8:Cloud Flareは後日公式ブログでこの件についてコメントしている。