カテゴリー
ネットの事件

野良WiFiで政治家らのサボり状況を収集した海賊党若手リーダー

スウェーデン海賊党は、スウェーデン国内の議会の議席は今は失っていますが、欧州議会には議席を持っているぐらいの、実在する政党です。

そのスウェーデン海賊党の26歳の青年部会(youth wing)代表グスタフ・ナイプ氏が仕掛けたのが、セキュリティ・防衛関連のカンファレンスでのWiFiハニーポット。

誰でも繋げる無線LANスポットをカンファレンス会場で作成し、それを見つけて接続し、使ってしまった100名ほどの政治家・軍人・ジャーナリストなどのアクセスログを記録してしまったのです。

彼らがカンファレンス中にこのハニーポットWiFiに接続して送ったメッセージやメール、アクセスしたサイトのURL、などの中には、たとえば、軍事・セキュリティの第一人者が「休日」や「森歩き」といった検索をしていた履歴などがあったということ。給料を貰って「仕事としてカンファレンスに参加しているはずの人たちがそういうことをしていたとは恥ずかしいことだ」とはナイプ氏の評。

同意無しにログを集めたことに対するソーシャルメディアでの批判も出たようですが、ナイプ氏としては個々のユーザーのプライバシーを暴く目的ではなく、全体として統計処理をしてジャーナリスティックに扱うことに問題はないはずだ、というスタンス。むしろ罪があるとすれば、政府のサーバ等につなげられるような人が野良WiFiに接続してしまうことの方では、と辛辣です。

海賊党といえば、著作権や特許などの権利が強すぎる、もっと弱めるべき、といったネットユーザーの主張から始まった政治勢力で、「海賊」という名前も「海賊版」から来ているわけですが、著作権強化への反対だけでなく、個人のプライバシーを守ることや、インターネット上の監視や検閲を無くすことも主張していて、今回の活動はそのアピールの一つのように見えます。

インターネット上に流れるデータを政府や軍は監視可能であるべき、といった安全保障上の主張に対しても、海賊党は反対の立場を取っています。今回の行動は、必要があるから自由に監視して良いのだ、という主張をする人に対する皮肉な反撃となったようです。

まあやってることは際どすぎるようにも思うのですが、日頃「監視せよ」「監視したい」と主張している立場の人が今回のWiFiに繋げてネットアクセスをしていたら、肝を冷やしているかもしれません。

via Ars Technica

カテゴリー
ネットの事件

Awesome Screenshot が閲覧したサイトのURLを収集している疑い

ブログ mig5.net のMiguel Jacqさんの記事によると、Chromeブラウザ用のスクリーンショット・ツールとして有名な Awesome Screenshot 拡張に、ユーザーの同意無しにユーザーがどのページに訪問したかをネットのどこかに送信する機能があるようです。

Jacq さんは、自分が管理するOSSECのサーバー上の Drupal の、ログインしないとアクセスできない管理画面の複数のURLに対して、”niki-bot”という名前のbotがアクセスしてくるのをアクセスログから発見しました。

外部から知りえないURLがアクセスされるからには、メンバーの誰かのクライアント側からURL情報が外部に漏れているのはと考えたチームは、内部で使われているブラウザ拡張を精査し、Diigo社のChrome拡張Awesome Screenshot がURLをネットに対して送信していることを見つけた、ということです。

awesome-screenshot-install-page

このAwesome Screenshot拡張、ブラウザ上で画面を画像として保存できる拡張機能で、日本語化もされています。メインの機能自体は使いやすいと評判が良いようで、日本語で推薦するブログ記事もいくつも見つかります。

しかし、この拡張をオンにしてウェブを閲覧していると、見ているページのURLが、Base64 エンコードを(なぜか2度)掛けて ld.crdui.com というドメインへ送られているというのです。

無関係なサーバに閲覧履歴を送る、なんてことをしているからには、当該部分のコードは、当然難読化されているのかと思いましたが、拡張のソースコードを見てみると tr.js というファイル中で送り先のURLや情報を送信するコードが隠されもせずに普通に読める形で書かれていますね。

SimilarWeb の元データ?

こちらのページでは、このAwesome Screenshot 拡張が7つもの外部のサーバにアクセスしていることを問題にしていますが、lb.crdui.com もこの7つのうちの1つで、webovernet.com にリダイレクトします。このwebovernet.com は SimilarWeb のサイトだと主張している人複数います。

SimilarWeb は、「このサイトを見ている人はこちらのサイトも見ています」というのを調べたりできるwebサイトです。サイトのページビューや訪問者数などの推測データも出してくれる数少ないwebサービスですが、以前から、どうやって色々なサイトのアクセス数などをそこそこ正確に推測できているのか、不思議に思われていました。

もし、Awesome Screenshot などのブラウザ拡張が SimilarWeb にユーザーのアクセスしたURL情報を横流ししているとすれば、サイトのトラフィックを推測できるのも道理です。

冒頭のbot、niki-bot の使っていたIPアドレスが、以前にSimilarWeb.com の使っていたアドレスだったという証拠も出てきました。

以上から、niki-bot = crdui.com = SimilarWeb が同じ運営者によるものという可能性は高いでしょう。

スクリーンショットを撮るために、どうして訪問したサイトのURLを外部に送信しなければいけないのか、Awesome Screenshot のインストールページには説明がありませんし、このURL送信を止めるオプションも無いようです。

パスワードなどの認証ではなく、URLのアドレスをランダムで長い文字列にすることによって関係者にしか開かれないページを作ったり共有したりできるサービスも多いですが、こういった擬似的な秘密ページも、そのまま送られてしまっては秘密でなくなります。

AlexaのAPIを使う拡張などで、閲覧ページの情報を収集するようなものもありますが、ユーザーが把握していたり、前記のような秘密のURLの収集をしないように対策するなど、ある程度のセキュリティーへの配慮をしているものもあります。しかし、この Awesome Screenshot のように何も予告せずに勝手に集めるというのは問題でしょう。URL がわかると限定公開の意味がなくなってしまうようなサービスの訪問アドレスも区別無くすべて送っているとなれば、悪用される可能性もあります。

この拡張、URL以外のもの、例えばwebサイトで入力した内容までも送っているのでは、と言っている人もいますが、Jacq さんの調査ではURLしか送られていないようだということ。

しかし、拡張のバージョンを上げてそういうコードを入れることもできますね。結局、ブラウザ拡張が安全かどうかは、提供元を信用するかどうかということになってしまうかと。毎回拡張のソースコードを読んだり、パケットの中を確認するのも現実的ではないですし。

Awesome Screenshot には Firefox版とSafari版もありますが、これらについて同じようなコードが入ってるかどうかはわかりません。Chrome版でだけやる理由もないので、安心はできないと思います。

まとめ

  • ChromeのAwesome Screenshot拡張が、見たページのURLをどこかに送信している
  • 送られたURLは SimilarWeb で使われているのではと思われる
  • URLを他人に知られるとまずいサイトを使っている人は利用を避けた方がいい
  • URL以外の送信は「今のところ」見つかっていない
カテゴリー
ネットの事件

スーパーボウルのセキュリティ司令室が、WiFiのパスワードをテレビに大写し

アメリカでは、今まさに年一回のスーパーボウルのゲーム中ですが、このアメリカで最も人気のあるゲームの数時間前に、テレビ局がネットセキュリティ絡みのポカをやったようです。

スーパーボウル・セキュリティ司令センター(Super Bowl security command center)を紹介するCBSネットワークが全米に流したのがこれ

superbowl-security-center-wifi-on-tv

左下に大きく、無線LANのパスワードが映ってます…

しかも、そのパスワードは普通の英単語(welcome!here = ようこそここへ)をいわゆる leetspeak で単純変換しただけの非常に単純なもの。welcomeとあるので、管理者ではなくゲスト用のパスワードではないか、という擁護もredditでは出ていますが、それにしてもねえ。

右下のテロップは「司令センターの秘密を本邦初公開」と言ってますが、公開しすぎじゃないでしょうか。

[追記]

ちょっと信じがたい話なので、元の記事にも当記事にも「フェイクでは?」という反応もあります。

やはり元の動画が無いと、ということでもう少し調べたところ、CBS自身がこの映像をサイトで公開しています。1:20 に上記の画像と同じシーンが登場するのですが、

その前のシーンの遠景では問題の部分が白っぽい背景に何か模様があるのに対して、

cbs-wifi-password-on-air-1

同じシーンでは、パスワードが表示されていた、と言われている箇所が、灰色で塗りつぶされています。

cbs-wifi-password-on-air-2

動画で見ると、スクリーンに灰色の四角が表示されているというよりも、動画を加工して灰色に塗りつぶしたように見えるので、やはり元々は最初の写真のようにまずい情報が映り込んでいたのを、ウェブでの公開に当たって隠したということかな、とも思うのですが。

まあ、CBSが全国放送で元々灰色で一部を隠した動画を公開し、そこに誰かがパスワードの画面を嵌め込んだ、という逆の可能性も無いとはいえないのかな。これ以上はCBSを録画してた人の検証が出てくるかどうか。

via reddit, ZDNet