データベース侵入について - 続報

元記事: Database Breach - An Update
8 December 2015 7:12:05
posted by Dark0ne

昨日の朝のアナウンスで、Nexus Modsのデータベース侵入の可能性についての最新情報をみんなに提示すると約束したけど、割と「良い」ニュースを持ってきた。

僕はRedditで最初に報告されたデータベースのダンプを大学のセキュリティネットワーク経由して入手したので、いくつかのことを確かめることができる。
最初に、データベースの最後の利用者は2013/7/22に登録されていて、データベースのダンプは「古い」。君がこの日付以降にNexus Modsに登録した420万人のユーザの一人なら、君の情報はこのデータベースダンプに含まれていないため「安全である」と思われる。二つ目に、データベースのダンプにはデータベースが完全に吸い出されていない。ダンプにはユーザーID、ユーザー名、電子メールアドレス、ハッシュとソルトが含まれている。それだけだ。そこには解読されたパスワードは含まれていない。つまり、ダンプにアクセスした者は誰でも、これらをどんな形であれサイトで使うためにハッシュとソルトをクラックする必要がある。

このことからさらに2つの結論が導ける。1つ目は、このダンプをした者はもう僕達のデータベースにアクセスしないため比較的安全と考えられる。なぜか？彼らがやったのなら、会員のデータベースの最新のダンプを公開しただろうからだ。僕達が多くの穴を修復し、数々のセキュリティアップデートを適用し続け、2013/7にはるかに安全なデーターベースクラスタに切り替えたことを考えると、彼らはもはやどんなアクセスもできないことを意味する。

2つ目は、2013/7以降にパスワードを変更したなら、彼らは新しいハッシュ/ソルト/パスワード情報を持っていないので君のNexusのアカウントは安全で機密が保たれているはずだ。僕自身は最近ネットワークやデータベースへの侵入はなかったと自信を持っているので、最近パスワードを変更していないならすぐに変更してほしい。同様に、2013/7以前に使っていたパスワードをまだ使っているなら、他のサイトやサービスのパスワードについてもすぐに変更すべきだ。

今回の調査で親身になって私を助け、調査の一環としてデータベースダンプを提供してくれたHPE Security Researchのチームに感謝したい。彼らの助力はとても貴重だった。

僕の前のニュース投稿では、正当なModの代わりに疑わしいファイルをこのサイトにアップロードされ、アカウントを侵害された3人のMod作者について言及した。侵害されたアカウントの所有者に加え、僕が知っている以前アカウント侵害された人と直接コンタクトを取ってみたが、どちらもとても簡単なパスワードを使っていた。並のクラッカーが数秒で解読できるパスワードだ。このことは情報を知っている者なら誰でも注目すべきものを見つけ、とても簡単にアカウントをクラックすることを知るのに役立つ。

僕の知る限り、この時にファイルデータベースでいかなる疑わしい活動も見つけられなかった。

アップロードされた悪意のあるファイル「dsound.dll」は、何をするものか調べるためにHPE Security Researchのマルウェア研究チームに送られた。うまくいけばこのファイルがウィルス対策ソフトで適切に判断されるよう広く知らせます。ここであらためてHPE Security Researchのチームに大いなる感謝をしたい。彼らは優れたサービスを提供してくれた。

この侵入に関して僕達が完全に潔白たりえるために全員にパスワード変更を強制させたいが、全員のパスワードを強制的に変更させる唯一の方法は全員のパスワードを無効にして登録された電子メールアドレス経由でパスワードの修復させることだ。

問題ないはずの新しいメンバー（影響を受けない者）は数千だと想像する。もはやアクセスできない（アクセスするつもりのない）電子メールアドレスでサインアップしているユーザーは数百ないし数千ほどでもないが、彼らのアカウントは再び入る方法もなく自分のアカウントから完全に閉め出されることになる。この点がちょっとした難問だ。僕はどうすべきかよく分かっていない。

最近の侵入の可能性に関して僕達が「潔白である」と思っているが、だからといってただ座って何もしないと主張するつもりはない。今回の恐怖は僕達の背後から本物のキックを食らわせてくれたからね。だから一旦でNMMのプロファイル共有のためのフロントエンドの仕事を脇に置くことでいくつかの改善に集中することができる。

直近の話としてはは、このサイトにおけるユーザの操作をより詳細にロギングするための仕事に取り掛かった。特にログインしたり主要な操作（データベースへのアップロードやファイルの削除など）を行ったときに使われたIPアドレスのログへの記録することだ。こうすることで、このサイトで問題が起こったとき、より簡単に分析して疑わしい操作を発見できるはずだ。もし以前から長い間静的なIPアドレスを使っていた誰かがTORが起点のIPアドレスを使ってすべてのファイルを扱うよう豹変したら、それを疑わしいと判断でき対応できると言ってさしつかえない。

他にも今回と同じくらい重要な何かが起こったときに備え、ユーザに通知するシステムにも取り組んでいる。実のところ、ユーザーに確実にメッセージを読んでもらいたいときに個々のユーザーに「ページ全体の通知」送信機能を持っている。プライベートメッセージを想像させるが、サイトを閲覧する前にメッセージを読んだというチェックボックスをチェックすることを強制するものだ。個々のユーザーに送信できるけれどサイトのすべてのユーザーにまとめて送信することはできない。だから何か重要な出来事が起こったらサイト全体に刑法と通知を遅れるようこのシステムを修正するつもりだ。うまくいけば数日後、君はこのニュース投稿に含まれる情報とパスワード変更のリマインダ通知を受け取ることになるので、このシステムが完成したことが分かるはずだ。

その後、来週初めに来年中期に計画しているフォーラムシステムに関する発表を行う。既製品のInvision Board forumsから、会員データベースとログインのセキュリティを完全に制御できる自家製のシステムに多くの機能を移行するつもりだ。基本的にはフォーラムで制御されているアカウントセキュリティから自家製のシステムで制御されるアカウントセキュリティに移行する。ユーザーの詳細情報を変更するためにフォーラムを訪れる必要がないだけでなく、２要素認証（詳細は未定だが今のところスマートフォンから安全なコードを生成できるGoogle Authenticatorが良いと考えている）と、バックエンドがより強固になるはずの沢山の独自の仕組みにより、ユーザーデータにより強固な暗号化を施すことが可能となる。たとえもっと最悪なことが起こり、別のダンプが一般の場に公開されてしまったとしても、そのデータを解読できると期待する誰かを絶望的な地獄を味合わせるものを作り出す。

最後に、このささやかな危機に対して反応してくれたみんなに感謝したいと思う。僕が公開メッセージやプライベートメッセージの両方から受け取った理解の言葉や支持と励ましは、この流出の発表に対する失望への恐れの感情を抑える助けとなり、この問題解決のために全力を尽くす決意を後押ししてくれた。僕は前回も言ったけれどもう一度言わせてほしい。利益がもたらされるのを期待している人々が、このコミュニティと同じくらい理解を持って支えとなってくれれえば、大きな違いが生じるということを。

以上

→ その他のNexus Modsニュース和訳はこちら