Lavabit事件

Lavabitという名前をみなさんご存知だろうか。NSAの監視活動について内部リークを行った Edward Snowden氏が利用していたメールサービスとして今年の夏に一躍有名になったところだ。Snowden氏は香港に滞在して複数のジャーナリストにNSAの内部情報を提供したあと、現在はロシアに一時亡命しているが、亡命が認められる前にモスクワ空港にしばらく滞在していたことがある。7月12日に空港内でプレスカンファレンスを行ったのだが、その時複数の人権団体に送った招待状が “edsnowden@lavabit.com” というメールアドレスからだった。この事が報道されると、「あの」Snowden氏が使っているメールサービスということで、利用希望者が殺到したらしい。(それまで新規登録は 200人/日だったのが、4,000人/日と20倍になった。)

しかしそんな表の騒動の影で、裏では Lavabitと FBIとの間でバトルが繰り広げられていた。Snowden氏によるリークの報道がはじまったのは 6月だが、実はその前の 5月から FBIは Lavabitのオーナーである Ladar Levison氏に接触していた。そして Snowden氏は内部告発者として 6月9日に名乗り出たが、その翌日の 6月10日には Lavabitに対して Snowden氏のアカウント*1に関する情報 (住所や氏名などの個人情報、IPアドレスやメールの送受信ログなど、ただしメールの中身は含まない) を要求する裁判所命令が出されている。Levison氏は命令に従い、1日1回これらの情報を FBIのサーバにアップロードして対応した。しかし FBIの要求はさらにエスカレートし、Snowden氏のアカウントのメール送受信をリアルタイムに盗聴できるようにすることや、当局が暗号化されたデータを復号するために SSL秘密鍵などの提出を命令してきた。Lavabitのユーザはこの時点で 40万人に増えていたが、Levison氏はこれら全ユーザのプライバシーを危険にさらすことから命令に従うことを拒否。しかし裁判所は Levison氏の主張を聞きいれてはくれなかった。ここで Levison氏は奇策にでる。秘密鍵の提出方法が指定されていなかったことから、複数あるSSLの秘密鍵を OCRで読み取ることができないように 4ptで印刷した11ページのプリントアウトで提出した (図1)。しかし電子データで提出しないと1日あたり $5,000の罰金を課せられることになり万事休す。Levison氏はやむなく秘密鍵を提出し*2、その2日後の 8月8日にサービスの終了を発表した*3。サービス停止を発表した際の Levison氏のコメント「アメリカ市民への犯罪行為に加担するか、10年も続けてきた Lavabitのサービスを終了するか、非常に難しい決断をせまられた」には、苦悩のあとが伺える。

サービス終了時の Lavabitから顧客へのメッセージ (2013-08-08)

I have been forced to make a difficult decision: to become complicit in crimes against the American people or walk away from nearly ten years of hard work by shutting down Lavabit. After significant soul searching, I have decided to suspend operations. I wish that I could legally share with you the events that led to my decision. I cannot. I feel you deserve to know what’s going on--the first amendment is supposed to guarantee me the freedom to speak out in situations like this. Unfortunately, Congress has passed laws that say otherwise. As things currently stand, I cannot share my experiences over the last six weeks, even though I have twice made the appropriate requests. (下線は筆者による)

(図1) Levison氏が提出した SSL秘密鍵の一部。(注：一度印刷されたものをスキャナーで読み込んでいるので、元の資料よりさらに読みにくくなっている。)
公開された裁判所の資料はココから読める。

この事件はさまざまな影響を及ぼしたが、一つは Silent Circle*4もメールサービス (Silent Mail) を終了すると8月9日に発表したことだろう。Silent Circleは Lavabitのサービス終了の状況を見て、もし同様のことが自分達に起こった場合、ユーザのプライバシーを保護することができないと判断したようだ (Silent Circleのブログ参照)。

もう一つは SSLの秘密鍵に関することだ。Levison氏はその後のインタビュー等で、Lavabitで Diffie-Hellmanをサポートするべきだったと話している。これは何のことを言っているのだろうか? それが次の話題の Forward Secrecyである。

ちなみに Lavabitと Silent Circleは 10月30日に DarkMail Allianceの立ち上げを発表した。来年を目処に現在の古くてセキュアではないメールプロトコルに代わる新しいプロトコルを XMPPベースで開発することを目指している(彼らは ‘Email 3.0’と呼んでいる)。こちらの動きにも今後要注目だろう。

Silent Circle and Lavabit launch “DarkMail Alliance” to thwart e-mail spying | Ars Technica (2013-10-30)

“Knowing that they’re coming after SSL keys—for starters I would have made sure that all my systems support Diffie-Hellman,” he said. “The recent addition that provides an extra exchange for a negotiation process that makes it impossible to find out the session key, even if [the authorities] have the private key. It effectively would have forced them to do a man-in-the-middle attack instead of a third-party eavesdropping. It also means that if you’re forced to turn over keys in the future, they wouldn't be able to go back and decipher.” (下線は筆者による)

Announcing The Dark Mail Alliance – Founded by Silent Circle & Lavabit | Silent Circle Blog (2013-10-30)

Silent Circle and Lavabit, as privacy innovators have partnered to lead the charge to replace email as we know it today – fundamentally broken from a privacy perspective – we have collaborated in developing a private, next-generation, end-to-end encrypted alternative.

Forward Secrecy

ブラウザが Webサーバと TLS/SSLで通信を行う場合、セッション毎に異なる暗号鍵が生成されるが、クライアントとサーバが同じ鍵を共有するために最初に鍵交換のプロセスが必要になる。現状最もポピュラーな鍵交換の方法は RSAを利用したものだろう (ここでは RSA鍵交換とよぶことにする)。この場合、クライアントが生成した 48byteの Premaster SecretがサーバのRSA公開鍵 (最初にサーバから送信されるサーバ証明書に含まれる)で暗号化されてサーバに送信される。サーバは自身のRSA秘密鍵でこれを復号し、互いに共通する Premaster Secretが手に入る。これを Master Secretに変換して、暗号鍵の生成に利用する。

RSA鍵交換の問題は何かというと、すべてのセッションにおいて Premaster Secretの暗号化に同じ鍵 (サーバのRSA公開鍵) が利用されるという点である。ここで WebサーバのSSL通信をすべて盗聴できる攻撃者がいたと仮定しよう (NSAがまさにこの攻撃者に該当する)。この攻撃者はサーバの秘密鍵を持っていないので、盗聴した暗号通信を復号することはできない。しかし将来なんらかの手段によって攻撃者がサーバの秘密鍵を入手できた場合、この攻撃者はそれまでに保存したすべての暗号通信を復号して見ることができてしまう。

この問題は20年前からすでに知られており、鍵交換プロトコルが備えるべき性質のひとつとして Forward Secrecy (または Perfect Forward Secrecy、FSや PFSなどと省略する) が挙げられていた。

Authentication and Authenticated Key Exchanges

Perfect Forward Secrecy
An authenticated key exchange protocol provides perfect forward secrecy if disclosure of long-term secret keying material does not compromise the secrecy of the exchanged keys from earlier runs. The property of perfect forward secrecy does not apply to authentication without key exchange.

WebサーバのSSL秘密鍵など比較的長期間にわたって使用される鍵が外部に漏洩したとしても、それ以前のセッションにおいて利用された暗号鍵にはなんの影響も及ぼさない、というのが FSの性質だ。さきほどの RSA鍵交換はこの性質を満たしていない。つまり FSを達成できない。
一方、Ephemeral Diffie-Hellman鍵交換 (EDHまたは DHE) は FSを達成できる。セッション毎に鍵交換に必要なパラメータを生成し、クライアントとサーバがそれぞれ計算した値を交換することにより共通の Premaster Secretを生成する。このときサーバの秘密鍵 (RSAまたはDSA) はサーバから送信されるDHパラメータの署名にのみ使用され、暗号化には使われない*5。また楕円曲線暗号を利用した Diffie-Hellman鍵交換 (ECDHE) も DHEと同様に FSを達成できる*6。
(注: サーバ証明書に DH公開鍵が含まれている場合、その固定パラメータを使って鍵交換を行なうことができる。しかしこの場合にはRSA鍵交換と同じで FSは達成できない。またこのタイプの証明書は現在ほとんど使われていない。TLS/SSLでは DH_RSA, DH_DSSによる鍵交換がこれに該当する。また ECDH_RSA, ECDH_ECDSAも同様。)

RSA鍵交換の場合、サーバの秘密鍵が漏洩する (または鍵が解読される) とすべてのセッションが復号できてしまうのに対して、DHE/ECDHE鍵交換であればセッションを復号するためにはそれぞれセッション毎の暗号鍵を解読する必要がある。NSAによる包括的な監視が行われている実態が明らかになったことを考えると、通信データの機密性がサーバの秘密鍵だけに依存するのはなんとも心許ない話だ。もし Lavabitが FSに対応していれば、つまりDHE/ECDHEによる鍵交換をサポートしていれば、たとえサーバの秘密鍵を当局に渡したとしても各ユーザのセッションを復号されることはなかったはずだ。(ただしこの場合、FBIは Lavabitのサーバになりすますことができるので MITMは可能。)

Forward Secrecy への対応状況

Webでの通信においてFSを実現するには、ブラウザ等のクライアントとWebサーバの双方で対応する必要がある。ではこれらのFSへの対応状況はどうなっているのか。2つのデータを紹介しよう。

1つめは Netcraftが今年の 6月に公表した調査データ。約240万の SSLサイトに対して 5種類の主要なブラウザ (Firefox, Chrome, Opera, Safari, IE) でアクセスした結果、およそ 2/3は FS対応の暗号スイートを利用していなかった。ブラウザ別では特に IEの成績が悪くなっているが、これは他のブラウザが FS対応の暗号スイートをFS非対応のものより優先しているのに対し、IEはそうではないためである。また DHE_RSAに対応した暗号スイートを IEはサポートしていない。
一方で Webサーバ側が FSに対応していないのは、DHE鍵交換の処理が重くパフォーマンス的に不利になるためだと考えられる。しかし比較的新しい ECDHEでは処理速度が早くなっており、RSA鍵交換との差は縮まっていると言えるだろう。

Netcraftの発表内容
http://news.netcraft.com/archives/2013/06/25/ssl-intercepted-today-decrypted-tomorrow.html
http://www.netcraft.com/internet-data-mining/ssl-survey/

2つめは Qualysが公開している SSL Pulseの調査データ。直近の 10月のデータによると、約16万サイトを調査した結果、54%のサイトが FSに対応していなかった。しかし FSに対応しているサイトのほとんども対応は不十分で、多くのブラウザとの通信において FS対応の暗号化スイートが使われていない。これはサイト側が ECDHEに対応していないためだと思われる。その結果、全体の 95.8%で FSが使われていないという状況になっている。

Qualysの発表内容
https://community.qualys.com/blogs/securitylabs/2013/10/09/ssl-pulse-now-tracking-forward-secrecy-and-rc4
https://community.qualys.com/blogs/securitylabs/2013/06/25/ssl-labs-deploying-forward-secrecy

主要なサービスの対応状況

こういった取り組みにいつも先行するのはやはり Google。2010年に他のサービスに先駆けて GmailのデフォルトHTTPS対応をはじめたが、2011年には Gmailなどの主要なサービスで FSにも対応している。

Google Online Security Blog: Protecting data for the long term with forward secrecy (2011-11-22)

Last year we introduced HTTPS by default for Gmail and encrypted search. We’re pleased to see that other major communications sites are following suit and deploying HTTPS in one form or another. We are now pushing forward by enabling forward secrecy by default.

Facebook, Twitter, Yahoo!, Apple, Microsoftなどのサービスでは 6月の時点では主要なブラウザにおいて FSは利用されていなかったようだが、その後 Facebookと Twitterは対応するようになった。おそらく今後他のサービスでも対応がすすむと考えられる。ちなみに日本の状況はどうかというと、Yahoo! Japan、楽天、mixiなどはまだどこも FSに対応していない。

(例) Chromeでアクセスした際に使われる鍵交換の方法 *7

(図2) Googleに Chromeでアクセスした場合

(図3) Yahoo! Japanに Chromeでアクセスした場合

まとめ

以上、Lavabit事件とその影響、Forward Secrecyへの対応状況などについて紹介した。今後は主要な Webサイトにおける FS対応がさらに進むことが予想される。なお Forward Secrecyはなにも TLS/SSLに限定した話ではなく、メッセージングの世界でも対応がすすんでいる。次回はこの話題 (OTR: Off-the-Record Messageing) について取り上げる予定。予定は未定。

(参照)
Edward Snowden’s E-Mail Provider Defied FBI Demands to Turn Over Crypto Keys, Documents Show | WIRED
As F.B.I. Pursued Snowden, an E-Mail Service Stood Firm | NYTimes
Edward Snowden has applied for asylum in Russia: Russian media (LIVE BLOG) | GlobalPost
SSL/TLS & Perfect Forward Secrecy | Vincent Bernat
Geekなぺーじ:スノーデン事件の裏で起きていたSSL秘密鍵を巡る戦い

まとめ

(*1) 各事例において、不正ログイン件数に重複が含まれるのか、重複を除いた IDの件数なのかは不明。したがって成功率の意味合いも事例によって異なる可能性がある。
(*2) 成功率は試行回数全体に占める不正ログインに成功した件数の割合を示す。(成功率 = 不正ログイン件数 / 試行回数)
(*3) この期間の他に 4/4に 30件の不正ログインが確認されている。
(*4) eBookJapanへの攻撃の成功率が非常に高いのは、存在しない IDへのアクセス数が試行回数の中に含まれていないためだと思われる。

疑問

これらの事例を見ていて感じるギモンを挙げておく。

• 他社サービスから流出した情報を利用したパスワードリスト攻撃を受けたと主張しているサイトもあるが、総当たり攻撃(ブルートフォース)や辞書攻撃ではなくパスワードリスト攻撃だとする根拠はなにか? (eBookJapanは根拠となる具体的なデータを提示している。)*1
• 攻撃者の動機がよくわからない。ポイント不正利用は金銭に直接結びつくのでわかりやすいが、その他は何を目的としたものなのか? 特にログインに成功しただけで顧客情報も閲覧していないものは?
• 同時期に同業種のサイトが攻撃を受けていると思われる事例があるが、これらは同じ攻撃者によるものなのか? 他の事例ではどうなのか?
• 日本の事例ばかりを取り上げたが、海外でもこの種の攻撃は起きているのか?
• ユーザによるパスワードの使い回しは実際どの程度行われているのか?

パスワードの使い回し

最後のギモンについてはいくつか参考になりそうなデータを挙げておく。

• eBookJapanのケースでは 1回のアクセス試行しかしていない IDが (成功と失敗をあわせて) 1,713で、このうちログインに成功した IDが 386。1回のみ試行しているパスワードが他社から漏洩したものと仮定すると、22.53%のユーザがパスワードを使い回していることになる。
• 海外の複数のパスワード情報漏洩事件において、これらのサイトに共通するアカウントのパスワードを分析したところ、60%以上のユーザが使い回しをしていたとの報告もある。(例1、例2)
• 2007年に Microsoftの研究者が約54万人を対象に行った調査では、平均的なユーザはおよそ25サイトにアカウントを持っていて、約6.5個のパスワードを利用している。つまり 1つのパスワードを 4つのサイトで使い回している。("A Large-Scale Study of Web Password Habits")
• 2012年に IPAが行ったアンケート調査 (5,000名が回答) では、「サービス毎に異なるパスワードを設定している」と回答したのは全体の 22.2%だった。(「2012年度 情報セキュリティの脅威に対する意識調査」報告書について)
• 2012年に トレンドマイクロが行ったアンケート調査 (316名が回答) では、約7割のユーザが3種類以下のパスワードを複数のWebサイトで使いまわしていると回答した。1つのパスワードを使い回しているユーザも 13.9%いた。(プレスリリース- 2012/12/14)

海外の事例

具体的な事例ではないが、Akamaiが先月リリースした最新の 'State of The Internet' レポートの中に、不正ログイン事件に関して触れている部分がある。以下に該当箇所から一部引用する。

The State of the Internet

In the first and second quarters of 2013, Akamai observed attempted account takeover behavior for a number of merchants resulting from reuse of credentials obtained from other sites. Lists of username and password combinations are available in carder forums or on pastebin, or acquired from compromised merchants. Because users often use the same username and password across multiple merchants and other non-commerce sites, this allows attackers to use the compromised credentials on a number of target merchants.

Attackers have been using automated tools — known as “account checkers” — to quickly determine valid user ID/password combinations across a large number of e-commerce sites. Using these tools, attackers can identify valid accounts rapidly and gain access to the accounts, acquiring names, addresses and credit card data from user profiles, and can also fraudulently acquire merchandise.

参照

WebMoney
「WebMoneyファンクラブ」サイトへの不正ログイン発生に関するお知らせ (2013/08/29)

ポイントタウン (GMOメディア)
「ポイントタウン」への不正ログインの可能性について (2013/08/21) (8/23に更新)

ヤプログ！ (GMOメディア)
「ヤプログ！」への不正ログインの可能性について (2013/08/21) (8/24,27に更新)

@games (GCREST)
【重要】アットゲームズ（セルフィタウン）への不正ログインに関するご報告 (2013/08/14)
【不正ログインについて】追加ご報告（8/16） (2013/08/16)

Ameba (サイバーエージェント)
「Ameba」への不正ログインに関するご報告 (2013/08/12)
「Ameba」への不正ログインに関する追加ご報告 (2013/08/16)

GREE
「GREE」への不正ログインに関するご報告 (2013/08/08)

Tサイト (CCC)
Tサイトへの不正ログインによるなりすまし被害について (2013/04/05)
Tポイント不正利用についてのお知らせとお願い (2013/07/26)

ニフティ
不正なログインの発生について (2013/07/17)

楽天
他社サイトから流出したID・パスワードを使った不正ログインの発生およびパスワード変更のお願いについて (2013/07/10)

KONAMI (コナミデジタルエンタテインメント)
「KONAMI IDポータルサイト」への不正ログイン発生のご報告とパスワード変更のお願い (2013/07/09)

任天堂
「クラブニンテンドー」サイトへの不正ログイン発生のご報告とパスワード変更のお願い (2013/07/05) (7/9に更新)

ニッセン
【重要】ニッセンオンラインショッピングサイトへの不正ログイン状況、及びお客様へのお願いについて (2013/06/19)

じゃらんnet (リクルートライフスタイル)
じゃらんnetへの「なりすましログイン」検知のご報告とパスワード変更のお願い (2013/08/08

ハピネット
オンラインショップへの不正アクセスについて (2013/06/03)
オンラインショップへの不正アクセスについて（経過報告）(2013/06/07)

阪急阪神百貨店 (エイチ・ツー・オー・リテイリング)
阪急・阪神百貨店オンラインショッピング、不正アクセスについて (2013/05/29)

三越伊勢丹
三越オンラインショップ・不正アクセスについて (2013/05/25)

資生堂
ワタシプラスにおける不正ログイン被害について (2013/05/17)

ディノス
【重要】セキュリティ強化のためのパスワード変更のお願い (2013/05/08)
【重要】弊社運営のオンラインショッピングサイトへの不正ログイン被害について ※セキュリティ強化のためのパスワード変更のお願い(第二報) (2013/05/09)
【重要】弊社運営のオンラインショッピングサイトへの不正ログイン被害について ※お客様情報を守るための【パスワード確認】のお願い（第三報）(2013/05/13)
【重要】弊社運営のオンラインショッピングサイトへの不正ログイン被害について ※お客様情報を守るための【パスワード確認】のお願い（第四報）(2013/05/16)

mopita (エムティーアイ)
弊社サービスへの不正ログイン被害のご報告 (2013/04/22)

NTT東日本
フレッツ光メンバーズクラブ会員サイトへの不正アクセスについて (2013/04/04)
不正アクセスへの対応等について (2013/04/10)

eBookJapan
重要なお知らせ】不正ログインに関する最終報告 (2013/04/05) (4/6, 4/9, 7/23に更新)

goo (NTTレゾナント)
gooIDアカウント不正ログイン被害について (2013/04/03)
gooIDアカウント不正ログイン被害について（続報）(2013/04/04)
gooIDへの不正ログイン被害について（終報）(2013/04/09)

JR東日本
My JR-EAST での不正ログイン発生とご利用のパスワード変更のお願い (2013/04/17)

更新履歴
(2013-08-07) 海外事例について Akamaiのレポートの内容を追記。
(2013-08-08) GREE、じゃらんnetの事例を追加。
(2013-08-12) Amebaの事例を追加。
(2013-08-19) @gamesの事例を追加。IPAとトレンドマイクロのアンケート調査結果について追記。
(2013-08-20) 不正ログイン件数などを一部補足、修正。
(2013-08-22) GMOメディアの 2件の事例を追加。
(2013-08-30) WebMoneyの事例を追加。

概要

この方法の鍵となるのは、設定済みの「セキュリティのための質問」が悪用されてしまいもはや安全ではない、と Facebookに認識させることにある。手順の(1)で「セキュリティのための質問」に正しく回答する必要があるため、自分で設定した回答を忘れてしまった場合にはこの方法は使えない。また手順(2)では現在のパスワードでログインし直す必要がある。

前提条件
・対象となるFacebookアカウントにログインできること (現在のパスワードを知っていること)
・設定済みの「セキュリティのための質問」の回答を知っていること

手順
(1) パスワードリセット機能を利用してパスワードを再設定する。
(2) 古いパスワードでログインする。
(3) アカウント再開の手続きを行う。

以下、順に詳しくみていく。

1. パスワードをリセットする

まずはパスワードリセット機能を使ってパスワードを再設定する。このとき「セキュリティのための質問」に回答する。*2

1-1. 「パスワードを忘れた場合はこちら」をクリックする。
1-2. メールアドレスや名前などを入力して対象のアカウントを特定する。
1-3. 「上記メールアドレスが利用できない場合」をクリックする。
1-4. 新しいメールアドレスを入力する。
1-5. 「セキュリティのための質問」に対する回答を入力する
1-6. 新しいパスワードを入力する。

このあと (1-4) で入力したメールアドレスにリンクが送られてくるが、何もしなくてよい。また (1-6) で設定したパスワードは以降の手順では使用しない。

ちなみに (1-4) のメールアドレス入力画面が表示されず (1-5) の画面に遷移しない場合や、直接 (1-5) の URLを指定してもエラーが表示される場合、そのアカウントでは「セキュリティのための質問」が設定されていないか、無効になっている*3。

2. 古いパスワードでログインする

パスワードリセットを実行したあと、古いパスワードでログインする。アプリやブラウザなどログイン済みのセッションが存在する場合には強制的にログアウトされるので、再度ログインを行う*4。
ここは重要なポイントなので間違えないように。さきほど新しく設定したパスワードではなく、そんなものは知らないよーと何食わぬ顔をして古いパスワードを使うこと。

2-1. 古いパスワードでログインする。
2-2. 「誰かがあなたのアカウントにアクセスしようとしました」というメッセージが表示される。
→ 「私ではありません」をクリックする。
2-3. 「誰かがアカウントにアクセスしようとしましたか？」 というメッセージが表示される。
→ 「アカウントの安全を確保」をクリックする。

(2-1)の時点ではパスワードリセットが実行されたあとで、アカウントはロック状態になっている。しかし古いパスワードでログインし、パスードリセットは自分が実施したものではないと申告することにより、正規のユーザではない第三者が不正にパスワードリセットをかけたことにできる。この場合、古いパスワードでログインしてきたのが正規ユーザと判断され、アカウントを再開するための手続きが開始される。

3. アカウント再開の手続きを行う

ここでは新しいパスワードの設定、登録されているメールアドレスの確認、このアカウントで最近行われた設定変更の確認などが行われる。その中で今回の目的である「セキュリティのための質問」も再設定することができる*5。(ただし設定を無効にすることはできない。)

3-1. 「セキュリティのための質問」に回答し、本人確認を行う。
3-2. 新しいパスワードを設定する。
3-3. メールアドレスを確認する。
3-4. 最近行われた変更内容を確認する。
3-5. 「セキュリティのための質問」を再設定する。
3-6. 「ログイン」をクリックすると、アカウントのロックが解除される。

以上で再設定は完了。おそらくこの方法で再設定したい人はほとんどいないし、誰得な情報ではあるが、せっかく調べたので一応記事にしておく。