1994年クリスマスに起きたIPスプーフィング攻撃について[TAKEDOWN]

ケビン・ミトニック氏といえばコンピュータセキュリティに興味のある方ならば一度は聞いたことがあるあろう伝説的なハッカーです。現在はセキュリティ関連の会社を立ち上げてコンサルティングに勤しんでおります。

ミトニック氏は1995年2月に逮捕され、FBIに協力していた下村努氏はジョン・マーコフ氏と共にミトニック氏逮捕までを追った著書を出版し、映画化もされました。

その後の報道や下村氏の著書の影響もあり、1994年のクリスマスに下村氏のサーバへIPスプーフィング攻撃を仕掛けて侵入した犯人はミトニック氏であると一般的に認識されるようになりました。しかし、ぼくはこの事には当初から強い疑いを持っています。

そこで、実際にこの事件は何だったのか20年以上経った今更ですが独自検証をしてみたいと思います。

スポンサーリンク

事件の概要

1994年クリスマス、世界でもトップレベルのセキュリティ専門家としてごく一部の人たちに知られていた下村氏が自宅で運用していたワークステーション(osiris)とSDSC(San Diego Supercomputer Center)で運用していたサーバ(ariel)が攻撃を受けて侵入され、下村氏の個人的なファイルが盗み出されました。

このとき利用された侵入方法は、以前から脆弱性を指摘されていたものの実際の攻撃に利用された事例のない、IPスプーフィングというものでした。IPスプーフィングについて論文にまとめて脆弱性を指摘していたのは、モリスワームで知られるロバート・T・モリスです。

その論文は今でも読むことができます。

A Weakness in the 4.2BSD Unix† TCP/IP Software

下村氏の著書「テイクダウン―若き天才日本人学者vs超大物ハッカー」によれば、スキー旅行に向かっていた下村氏はアシスタントのアンドリュー・グロス氏からシステムログが改ざんされたという報告を受けます。自宅へ引き返した下村氏は何が起こったのか調査を開始しました。そしてarielで収集していたパケットログを調べた結果、IPスプーフィングにより侵入されたという結論に達します。

その後、Wellという大手プロバイダのサーバにarielから盗み出された下村氏のファイルが発見されました。仲間と共にWellとNetcomで通信傍受を開始した下村氏は侵入者が”itni”という文字列でメールを検索した事からミトニック氏が事件に関与しているのではないか、と推測します。そして、IRCで交わされていた会話を傍受し、その内容からミトニック氏が関係している事を突き止め下村氏がFBIに協力してミトニック氏の逮捕に至りました。

詳しくは下村氏の著書で読むことが出来ます。

攻撃の流れ

当時の状況

下村氏は自宅でrimmon、osiris、astarteというサーバやワークステーションを運用していて、インターネットへ接続するためSDSCに設置されているarielをゲートウェイにしていました。

攻撃を受けた当日、rimmonからosirisへリモートログインしていました。そしてosirisからはarielへリモートログインしていました。

こんな感じです。

攻撃者の事前調査

攻撃者の最終的な目標はarielです(理由は後述)。

まず攻撃者はarielに対してfingerを実行しました。これによりosirisがarielへリモートログインしている事がわかります。

攻撃者はosirisになりすましてarielへIPスプーフィング攻撃を実行するつもりでしたが、arielはrloginを受け付けていませんでした。そこでosirisへfingerを実行したところ、rimmonがosirisへリモートログインしている事がわかりました。

この事から、rimmonになりすましてosirisへIPスプーフィング攻撃を実行し、osirisを足掛かりにarielへ侵入するという計画を立てました。

arielへの侵入プロセス

最初にrimmonへDos Attack(syn flood)を実行してrimmonを通信不能にします。次にosirisへIPスプーフィング攻撃を仕掛け、rimmonからの通信と見せかけてrshを実行しました。この攻撃により、osirisはどこからでもrootでrloginできる状態となりました。

osirisへログインした攻撃者はtapというカーネルモジュールをコンパイルしてインストールします。おそらくこのカーネルモジュールはtcpセッションを乗っ取るためのものです。osirisはarielへリモート接続しており、このセッションが盗まれました。

そして、攻撃者はarielへ侵入を果たしました。

本当の犯人

ケビン・ミトニック

ミトニック氏は確かに数々のハッキングに成功していましたが、コンピュータ技術に突出したスキルを持つハッカーではなく電話システムやソーシャル・エンジニアリングを得意とするハッカーでした。

彼を伝説的なハッカーに仕立てたのはジョン・マーコフ氏です。マーコフ氏はミトニック氏をネタに「ハッカーは笑う」を執筆した記者です。

ミトニック氏にインタビューする事もなく、キーボードひと叩きで核ミサイルを発射できる危険人物のように書き立ててミトニック氏のイメージを定着させた張本人がマーコフ氏でした。そして、マーコフ氏は下村氏の友人でした。

なぜarielを狙ったのか

「Cellular Telephone Experimenter’s Kit」というOKIの携帯電話を制御可能なソフトウェアを開発・販売していたマーク・ロッター氏は、OKIのソースコードあるいはリバースエンジニアリングした情報を持っているのではないかとミトニック氏に疑われ目を付けられました。

1993年9月、ロッター氏のガールフレンドがSunに勤めている事を知ったミトニック氏はSunをハッキングして彼女のワークステーションに侵入し、そこを足掛かりに彼女が運営していたart.netへ侵入しました。ミトニック氏が下村氏の事を知ったのはSunへ侵入したときです。Sunへ送られてきた下村氏によるSunOSの脆弱性レポートをミトニック氏は読んでいました。

art.netでスニッファを動作させていたミトニック氏は彼女がロッター氏のシステムへログインするところを補足し、まんまとロッター氏のシステムへ侵入しました。そこにはOKIのソースコードはありませんでしたが、ロッター氏がある人物とOKIのリバースエンジニアリングに関する情報をやり取りしているメールが残っていました。その人物が下村氏です。

興味を持ったミトニック氏は下村氏のシステムをターゲットにしました。そこで、カリフォルニア大学サンディエゴ校のeulerというサーバに侵入してスニッファを動作させていたところ、davidというユーザーがarielへリモートログインする通信を補足し、arielへの侵入に成功します。しかしarielへの侵入は下村氏に気付かれ数日でネットワークから締め出されました。

その後ロッター氏のシステムに舞い戻ったミトニック氏はファイルを盗み出しますが、結局ソースコードは手に入れられませんでした。

arielで目的のファイルを見つけられなかったミトニック氏はもう一度arielをハッキングする必要があると確信しました。

jsz

ミトニック氏にはハッカー仲間が多くいましたが、その中にイスラエル在住のハッカーがいました。jszです。彼はプログラマーで本名はJonathan Zanderson。セキュリティ関連のコミュニティでは知られた存在でした。

jszはかなり高度なスキルを持ったハッカーで、SunやIBM、SGIやSCOなど主要なほぼすべてのベンダーに侵入してソースコードを盗み出し、OSやファームウェアにバックドアを仕掛けていました。jszは主にIRCでミトニック氏と情報交換をしており、攻撃コードや脆弱性情報、バックドアへの接続方法を提供していました。あるとき、jszはミトニック氏にIPスプーフィングついて書かれたロバート・T・モリスの論文を読んだか?と尋ねました。IPスプーフィング攻撃は理論に過ぎないとミトニック氏が答えると、jszは次のように言ったそうです。

Well, my friend, methinks it has, We’ve already developed the tool, and it works – amazingly well!

ロバート・T・モリスの論文を読んだjszは、実際に動作するIPスプーフィング攻撃コードを既に書き終えていました。

攻撃先を探しているjszに、ミトニック氏は下村氏のサーバ(airel)にOKIのソースコード、もしくはロッター氏とリバースエンジニアリングしたOKIの解析データがあるかも知れないと伝えました。クリスマス前の事です。

クリスマスの夜の電話

1994年クリスマスの夜、映画館から出たミトニック氏がjszへ電話をかけてユダヤ式のメリークリスマスを伝えると、落ち着いた口調でjszが言いました。

Glad you called.
I have a Christmas present for you. My friend, I got into ariel tonight.

IPスプーフィング攻撃を実行してarielへ侵入したのはjszでした。

jszは「tonight」と言っていますね。攻撃はアメリカ時間で14時過ぎに発生しています。イスラエルの時刻はアメリカより6時間進んでいますから、jszはイスラエルの現地時刻で20時過ぎに攻撃を実行したものと思われます。

jszはarielへ簡単なバックドアを仕掛けていました。

Once you connect, there is no prompt. You just type ‘.shimmy.’ and you get a root shell.

shimmyというのは下村氏のニックネームです。jszは下村氏のニックネームをバックドアのパスワードにしていました。

ミトニック氏は急いでホテルに戻るとラップトップを立ち上げ、バックドアからarielのrootシェルを得ました。

ミトニック氏との別れ

下村氏がミトニック氏のオンライン上での行動を追跡する最中、jszはミトニック氏に次のようなメッセージを残して姿を消しました。

Hi,
This AM my dad had a serious heart attack and is hospitalized here; I have been at the hospital all the day, and probably will be there all day on tomorrow as well; Don’t expect me to be on computers during next 3–4 days—I hope you understand.

Rgrds,
Jonathan

安っぽい深夜ドラマのような別れの言葉ですが、捜査の手が自分自身に及ぶ事を恐れたjszが暗に別れを告げたのでしょう。それはミトニック氏にも伝わったようで、ミトニック氏は後にこのメッセージを受け取ったときの事を次のように言っています。

JSZ sent me a message that left me up in the air

スケープゴート

IPスプーフィング攻撃を実行した張本人がミトニック氏でない事は皆知っていました。IPスプーフィング攻撃はミトニック氏には高度過ぎるため実行不可能だと知っていたのです。

マーク・ロッター氏は、IRCを監視中にIPスプーフィング攻撃の実行犯がjszである事を知ります。そのIRCでのやり取りを下村氏と見たと証言しましたが、下村努氏はその事について何も語っていません。そして下村氏は「テイクダウン―若き天才日本人学者vs超大物ハッカー」を出版し、ゲームや映画まで制作されました。

FBIから目を付けられていたミトニック氏は恐らくスケープゴートにされたのだと思われます。誰が犯人なのか、ではなくミトニック氏を捕まえるための捜査だったのでしょう。

さいごに

この事件はぼくがコンピュータの世界にどっぷりとハマるきっかけとなりました。IPスプーフィングを知らなければLinuxやUnixを使うことも、C言語を覚えることも、ネットワークの低レイヤーについて勉強することもなかったでしょうし、コンピュータを生業にすることもなかったでしょう。そういう意味では、ぼくの人生を大きく変えたとも言える事件です。

真犯人であるjszはミトニック氏に別れのメッセージを送った後、完全に姿を消してしまいました。jszは今どこで何をしているのでしょうか。

スポンサーリンク