分析倒産したウェブ大手の Yahoo! は、約10 億のアカウントが盗まれる前に MD5 パスワード ハッシュをアップグレードするという途方もない課題に取り組まなかったことで、怠慢であると非難されている。
セキュリティ面で打撃を受けているこの組織は本日、2013年8月に史上最大の侵害で攻撃者が10億件以上のアカウントを盗んだことを明らかにした。
ハッカーは、ソーシャルエンジニアがユーザーの個人情報を危険にさらすために、名前、住所、電話番号、MD5 ハッシュ化されたパスワードを盗みました。
この驚くべきニュースは、2014年に国家の支援を受けたとされるハッカーによる別々の攻撃で5億件のアカウントが盗まれたことを同社が9月に認めたことを受けてのものだ。この事件は、スタッフがハッキングを初めて知ってから2年後に起きた。
Yahoo!はその後、MD5 ハッシュをはるかに優れた bcrypt に置き換え、世界最悪のパスワード暗号化メカニズムから最高のメカニズムの 1 つへと移行しました。
しかし、Yahoo !のサービスにサインアップする際に正当な個人情報を使用する人々にとっては、これはほとんど慰めにはならない。その中には、Yahoo ! をデフォルトの電子メール サービスとして使用している AT&T など大手ケーブルおよび DSL 通信会社の多数の米国人加入者や、9 月に同サービスをやめたニュージーランドの通信会社 Spark も含まれる。
Yahoo!は声明の中で重要な添加剤について言及していないため、MD5ハッシュにソルトが加えられたかどうかは不明です。1Password認証情報保管庫の開発元であるAgileBitsのセキュリティ専門家、ジェフリー・ゴールドバーグ氏は、ソルトを加えることでMD5の使用に伴うリスクはある程度軽減されると述べています。
「最も重要なのは、ハッシュがMD5、SHA1、SHA256のいずれであっても、ソルトが使用されているかどうかです」とゴールドバーグ氏は言う。「ソルトなしのハッシュを使用するという言い訳は絶対にありません。」
しかし、パープルパレスがこのアルゴリズムを使用していたこと自体が、セキュリティ専門家から厳しい批判を浴びている。
「MD5ハッシュアルゴリズムは、安全でないだけでなく、20年間も壊れていると考えられてきました」と、シドニーに拠点を置くセキュリティ会社Threat Intelligenceのディレクター、タイ・ミラー氏は述べ、MD5衝突脆弱性が1996年に発見され、実用的な攻撃が2005年に開発されたことを指摘した。
「10億人を超えるユーザーの個人情報を保護する義務を負っているYahoo!のような組織が、顧客のパスワードを保護するためにこのような時代遅れで効果のない管理方法を採用しているのは怠慢であると思う。」
非常に薄いアルゴリズムはセキュリティ界では笑いものになっています。レインボーテーブルは、ハッシュを平文のパスワードに変換するディレクトリとして機能し、インターネット上にはログイン情報を数秒で明らかにできる無料および有料のサービスが溢れています。
画像: ケネス・ホワイト
パースに拠点を置くアスタリスク・インフォメーション・セキュリティの主任セキュリティコンサルタント、デイビッド・テイラー氏も同様の意見を述べています。「確かに、2013年になってもハッシュにMD5を使い続けるのは、かなりまずいでしょう」と彼は言います。「MD5に関しては、2000年代半ばにまで遡って数多くの問題が報告されています。」
高く評価されている Open Web Application Security Project (OWASP) の理事であり、Threat Intelligence の最高技術責任者でもある Andrew van der Stock 氏は、開発プロセスにセキュリティを組み込むことを提唱しており、Yahoo !のセキュリティ モデルに欠点があると考えています。
「今回の侵害は、Yahoo !のこれまでのセキュリティ対策が理想的ではなかったことを明確に示しており、Paranoids (Yahoo! のセキュリティ チーム) が経営陣に働きかけてパスワード ハッシュを時代遅れで安全でないアルゴリズムからより現代的で許容できるものにアップグレードさせることができなかったことは明らかです」と彼は言う。
「MD5 が依然として多くの最悪の侵害でよく見られるということは、MD5 の継続的な使用が他の不十分なセキュリティ慣行と相関関係にあることを示しています。」
この情報漏洩はヤフーにとって極めて悪いタイミングで起きた。ファン・デル・ストック氏によれば、同社は近々ベライゾン社に買収される予定で、おそらくは損傷品割引価格で買収される予定であり、オーストラリアでセキュリティ人材の採用活動を行って地元のセキュリティ人材を獲得しようとしているという。
「セキュリティに対する上級管理職のサポートを全面的に見直し、顧客のプライバシーとデータのセキュリティに対する要望に沿うようにしなければ、Yahoo !での役職に就く意味がないことは私たち全員が理解しています」と同氏は言う。
これを鵜呑みにしないで
1980年代には管理者がパスワードハッシュにソルトを付与していましたが、今日でも多くの管理者がソルトを付与していません。この措置により、一方向性関数にランダムデータが導入され、汎用的なレインボーテーブルの使用が妨げられます。
ゴールドバーグ氏は、2012年に発生したLinkedInの情報漏洩を例に挙げ、当時セキュリティ専門家が書いた記事でソルトの重要性を指摘した。
「LinkedInは、MD5よりも一般的に改良されたSHA1を使用していましたが、MD5ではなくSHA1だったことは実際には問題ではありませんでした」とゴールドバーグ氏はThe Registerに語った。「重要なのは、ソルトが付いていなかったことです。私は2012年に、LinkedInがソルトなしのハッシュを使用していたのは無責任だと主張しました。ですから、もし実際にYahoo!がソルトなしのハッシュを使用していたとすれば、2013年にYahoo!がソルトなしのハッシュを使用していたことにも間違いなく当てはまります。」
簡単に言えば、味気ないソルトフリーのパスワードハッシュはゴールドバーグ氏とその仲間から「軽蔑」される一方で、bcrypt、PBKDF2、あるいは近々登場する Argon2 のような遅いハッシュの使用は彼らの賞賛を得るのです。
攻撃者はソルト付きパスワードを推測できますが、bcryptなどの技術は推測速度を低下させます。「SHA256やMD5などの単純な暗号ハッシュ関数では、攻撃者は1つのハッシュに対して毎秒1000万回の推測を実行できる可能性があります。しかし、『低速ハッシュ』関数を使えば、その回数は毎秒数万回にまで減らせる可能性があります」と彼は言います。
パスワード変更率の低下により、ユーザーはパスワードを変更する機会を得られるが、それでもYahoo!にとってはプラスには働かなかったかもしれない。「しかし、4年も経てばハッシュ方式の詳細はさほど重要ではなくなる。推測可能なパスワードは、今ごろは推測されているはずだ」と同氏は言う。
簡単ではない
Yahoo!は、他の多くの無料テクノロジーサービスを提供する企業と同様に、可能な限り多くの加入者を獲得したいと考えており、逃げようとするユーザーを抑制しようとしていると批判されてきた。こうした考え方が、2013年の強奪事件以前から、パスワードのMD5ハッシュをより効率的に廃止することを思いとどまらせたのかもしれない。
「(bcryptへの)変換プロセスを迅速化する唯一の現実的な方法は、パスワードのリセットを強制することです。おそらく全面的に、あるいはウェブプロパティごとに行うでしょう」と、著名な暗号学者であり、Open Crypto Audit Projectのディレクターを務めるケネス・ホワイト氏は述べています。「そしてそこに問題があります。企業側は最大のユーザー数を誇示したいという気持ちと、何年も前のメールが何百万人もの人々に、ずっと前に忘れていたアカウントへのログインを思い出させるという現実との間に、しばしば非常に現実的な葛藤が生じるのです。」
Yahoo!を使用してYahoo! MD5 ハッシュを検索し、ここで「Password1」を明らかにします... 画像: Ty Miller。
パスワードをMD5ハッシュからbcryptにアップグレードするためにログインするように求めるメールをユーザーに送ると、「事実上一夜にして大量のユーザーが流出する」恐れがあり、ソーシャルメディアに苦情の嵐が巻き起こり、燃える宮殿からさらに多くの人々が追放されるだろう、と彼は言う。
Bcrypt は、正当な使用によるパフォーマンスのオーバーヘッドを最小限に抑えながら、復号の試行を遅くするように設計された強力なハッシュ関数であり、The Register がこのストーリーのために話を聞いたセキュリティの専門家全員、および OWASP を含むより広範なセキュリティ コミュニティの多くの人々によって、PBKDF2 (Miller はハッシュの反復回数が 100,000 回である後者を好みます) とともに好まれています。
しかし、最高レベルの機能に移行するのは、単に「bcrypt に切り替える」ほど簡単ではないとホワイト氏は言う。
ブートストラップ プロセスに従うこともできますが、bcrypt または PBKDF2 を呼び出して新しい列に保存するには、ユーザーがログインする必要があります。
さらに、ホワイト氏は、Yahoo !は数十年前の Perl、PHP、C コードが混在する Web プロパティの寄せ集めであり、専用の最新 Web アプリのアップグレードの容易さと比較することはできないと述べています。
「従来の管理型ビジネスメールシステムを考えてみてください」とホワイト氏は言います。「無数のeコマースショッピングカートアプリ、広告アカウント、そしてFlickrやYahoo! IM、そして何年もログインしていなかった何億人ものウェブメールユーザー。こうしたシステムを見れば、エンジニアリングの課題がいかに深刻かお分かりいただけるでしょう。」
ファン・デル・ストック氏は、部外者としての立場を認めつつ、ユーザー名とパスワードのみの使用はユーザーを「重大なリスク」にさらし、アカウントを無防備なままにしておくことは「重大な信頼違反」となると指摘し、ヤフーは直ちに全サービスに二要素認証を導入し、パスワードを再度リセットすべきだと考えている。
ヤフー pic.twitter.com/LSxdm1wNdx
2016年12月15日
Yahoo!は、もしまだ導入していないのであれば、Microsoft の Xbox Live の取り組みに倣い、同様の認証技術を導入できるだろう。「…侵害されたアカウントに関する何らかのリアルタイム認証インテリジェンスを強く推奨します。認証システム自体がログインにリスクスコアを割り当て、ブルートフォース攻撃、遠国からのログイン、複数の IP アドレスからのログインといった通常とは異なる不正行為のパターンをブロックするか、ユーザーに更なる対応を促す警告を発するようになります。」
依然として疑問は残るが、中でも特に、このテクノロジー大手が、自社のアカウントの膨大な数が侵害されたことを公表するのに3年もかかったのはなぜかという点が特に重要だ。「侵害の範囲を完全に把握し、公表するのになぜこれほど時間がかかったのか、理解に苦しむ」とホワイト氏は述べている。®