Wednesday, August 20, 2008

インターネットから個人情報を盗む方法

scientific american:How I Stole Someone's Identity
The author asked some of his acquaintances for permission to break into their online banking accounts. The goal was simple: get into their online accounts using the information about them, their families and acquaintances that is freely available online
By Herbert H. Thompson

ソフトウェア開発の教授として,著者はソフトのセキュリティに多くの時間を費やしてきた.
その経験から,ウェブから情報を集めれば,いかに人々のアカウントが破られるかをお見せしよう.
私は仲のよい知人に,彼らの管理下のもと,銀行のオンラインアカウントを破る許可お願いした.
気まずい沈黙の後,彼らは了承してくれた.
ゴールは簡単だ.ゴールは簡単だ.彼らの趣味,彼らや彼らの家族,知人の情報を使って,オンラインアカウントに入る,
その情報はインターネットで入手できる.
明確にするため,脆弱性をついたハッキングはしない.
代わりに,個人情報を得るためにインターネットを巡回する.
一つのケースを挙げよう.
これを公開するのは,我々のほとんどがインターネットに持っている,
一般的な罠や,深刻な脆弱性を表すためだ.

As a professor, a software developer and an author I've spent a career in software security. I decided to conduct an experiment to see how vulnerable people's accounts are to mining the Web for information. I asked some of my acquaintances, people I know only casually, if with their permission and under their supervision I could break into their online banking accounts. After a few uncomfortable pauses, some agreed. The goal was simple: get into their online banking account by using information about them, their hobbies, their families and their lives freely available online. To be clear, this isn't hacking or exploiting vulnerabilities, instead it's mining the Internet for nuggets of personal data. Here's one case. I share it here because it represents some of the common pitfalls and illustrates a pretty serious weakness that most of us have online.

準備:
このケースのターゲットを「kim」と呼ぶ.
彼女は妻の友人で,過去の会話から彼女の名前,何州出身か,どこで働いているか,何歳かを知っている.
しかし,知っているのはこれだけだ.
彼女は,どの銀行を使っているか(これを調べるのに非常に簡単な方法がある)
ユーザーネームは何かこれは予想が簡単だ,ファーストネームのイニシャル+ラストネーム)
を教えてくれた.
この情報に沿って,彼女のアカウントにアクセスする.

Setup: This is the case of one subject whom I'll call "Kim." She's a friend of my wife, so just from previous conversations I already knew her name, what state she was from, where she worked, and about how old she was. But that's about all I knew. She then told me which bank she used (although there are some pretty easy ways to find that out) and what her user name was. (It turns out it was fairly predictable: her first initial + last name.) Based on this information, my task was to gain access to her account.

ステップ1:偵察
彼女の名前と会社名を使って,Googleで二つのものを見つけた.
ブログと履歴書だ.
ブログはドル箱だ,祖父母,ペット,出身地,などの情報がある.
(しかしこれらのほとんどは使う必要はなかった)
履歴書からは彼女の出身大学のemailアドレス,
ブログからは彼女のgmailアドレスを得た.

Step 1: Reconnaissance: Using her name and where she worked, I found two things with a quick Google search: a blog and an old resume. Her blog was a goldmine: information about grandparents, pets, hometown, etcetera (although it turns out I didn't need to use most of this). From the resume I got her old college e-mail address and from her blog I got her G-mail address.

ステップ2:銀行のパスワード復元
次のステップは彼女のオンライン銀行の銀行のパスワード復元機能だ.
残念なことに,このサイトは個人的な質問なく,彼女のemailアドレスにリセットするリンクを送るようになっている.
私は彼女のemailアカウントにアクセスしていない.
そこで,emailが次のターゲットとなる.

Step 2: Bank Password Recovery Feature: My next step was to try the password recovery feature on her online banking site. The site didn't ask any personal questions, instead it first sent an e-mail to her address with a reset link which was bad news, because I didn't have access to her e-mail accounts. So e-mail became my next target.

ステップ3:Gmail
Gmailのパスワードを復元しようとした.
銀行のリセットリンクのemailがこのアドレスに送られていると予想してだ.
彼女のGmailアカウントのパスワードを再設定しようとしたとき,
Googleはそのパスワード再設定のemailを大学のemailアカウントに送信した.
面白いことに,Gmailはパスワード再設定のemailを送ったドメインを教えてくれるのだ.
そこで,今度は大学のemailアカウントにアクセスする.

Step 3: G-mail: I tried to recover her G-mail password, blindly guessing that this was where the bank would have sent its password-reset e-mail. When I tried to reset the password on her G-mail account, Google sent its password reset e-mail to her old college e-mail account. Interestingly, G-mail actually tells you the domain (for example, xxxxx.edu) where it sends the password reset e-mail to, so now I had to get access to that…ugh.

ステップ4:大学のemailアカウント
大学のemailサーバの「パスワードを忘れたときは」リンクを使ったら,
パスワードリセットのためのいくつかの情報を聞いてきた.
住所(チェック:オンラインで昔の履歴書を手に入れている)
zipコード(チェック:履歴書)
出身地(うーん,OK.チェック:履歴書)
誕生日(だめだ知らない)
もっと創造的にならなくては.

Step 4: College E-Mail Account: When I used the "forgot my password" link on the college e-mail server, it asked me for some information to reset the password: home address? (check—found it on that old resume online); home zip code? (check—resume); home country? (uh, okay, check—found it on the resume); and birth date? (devastating—I didn't have this). I needed to get creative.

ステップ5:バイク省
彼女がスピード違反していることを願って,交通裁判のサイトを開いた.
多くの州で,違反や裁判を名前で調べることができるからだ.
この記録は,生年月日の情報も含んでいる(と,他のものも)
30分ほど探したが,残念なことに見つからなかった.
そして,もっと簡単な方法があるのではないかと思った.

Step 5: Department of Motor Vehicles: Hoping she had gotten a speeding ticket, I hit the state traffic courts' Web sites, because many states allow you to search for violations and court appearances by name. These records include a birth date (among other things). I played around with this for about 30 minutes with no luck when I realized that there was probably a much easier way to do this.

ステップ6:ブログに戻る
彼女のブログで単にを探すのは一瞬だった.
彼女はブログに参照できる投稿をしており,誕生日がわかった.
しかし,年がわからない.

Step 6: Back to the Blog: In a rare moment of clarity I simply searched her blog for "birthday." She made a reference to it on a post that gave me the day and month but no year.

ステップ7:Endgame (or How to Topple a House of Cards)
大学のemailパスワード復元画面に戻り,誕生日と,予測した誕生年を入力した.
誕生年は外れていた.
が,なんと,大学のパスワード再設定ページは正しい情報が入力されるまで,5回もチャンスをくれたのだ!
そして,私は大学のパスワードを再設定し,Gmailのパスワード再設定メールを得た.
リンクをクリックすると,Googleは個人情報を聞いてきた.
それは彼女のブログから簡単に見つけられた.
(出身地,父のミドルネーム,など)
私はGmailのパスワードを変え,銀行のパスワード再設定メールを得た.
リンク先で,銀行も同様に同じような個人情報を聞いてきた.
(ペットの名前,携帯番号,と他4つ)
これらも彼女のブログで見つけていた.
パスワードをリセットし,私は彼女の口座にはいった.
(いや,もう僕の持ち物だ)

Step 7: Endgame (or How to Topple a House of Cards): I returned to the college e-mail password recovery screen and typed in her birth date, guessing on the year. Turns out that I was off on the year of birth but, incredibly, the university password reset Web page gave me five chances and even told me which field had inaccurate information! I then changed her college e-mail password, which gave me access to her G-mail password reset e-mail. After clicking the link, Google asked me personal information that I easily found on her blog (birthplace, father's middle name, etcetera). I changed the G-mail password, which gave me access to the bank account reset e-mail, and I was also asked for similar personal information (pet name, phone number and so forth) that I had found on her blog. Once I reset the password, I had access to her money (or at least I would have).

いうまでもなく,kimはショックを受けた.
彼女の電子認証は,強固な大学のアカウントに頼っていたのだ.
それにアクセスされたら,最後の砦がドミノの列のように崩れてしまった.
kimのケースで問題なのは,どの程度普通かということだ.
我々の多くは,多数の個人情報をウェブに置き.
パスワード再設定emailを送る人気のスタイルは,不安定な一つか二つのemailアカウントに頼っているのだ.
kimはいくつかの情報をブログに置き,
そこにはMySpaceや,兄弟のブログ,(彼らの誕生日,母の名前などから)
他の多くの場所からアクセス出来た

Needless to say, Kim was disturbed. Her whole digital identity sat precariously on the foundation of her college e-mail account; once I had access to it, the rest of the security defenses fell like a row of dominoes. What's striking about Kim's case is how common it is. For many of us, the abundance of personal information we put online combined with the popular model of sending a password reset e-mail has our online security resting unsteadily on the shoulders of one or two e-mail accounts. In Kim's case some of that information came from a blog, but it could just as easily have come from a MySpace page, a sibling's blog (speaking of their birthday, mom's name, etcetera) or from any number of places online.

この脅威と戦うには,オンラインの我々が誰であるか,
オンラインでの自分形成で良い選択をする必要がある.
セルフチェックをしてみよう.
パスワードの再設定を試し,あなたを認識する質問が何かを調べよう.
いくつかの質問は他人にも答えられる.
誕生日などだ.残念だが.
DMVに加えて,公表される記録がオンラインに豊富にあり,
他人に出身地を知られてしまう.
ほとんどの再設定機能は,質問か方法を選ぶスタイルだ.
その質問で,あいまいなものを選ぼう.
答えには忘れないもの(少なくとも調べられるもの),例えば好きな航空便の名前などをセットしよう.
簡単に答えが予測できるものはだめだ.例えば口座を開設した州などだ.
これらのすべては,もちろん,
オンラインの個人情報がきちんと設定されたと証明されるまでの間に合わせだ.

Battling this threat requires us to make better choices about how we prove who we are online and what we make available on the Internet. Go and do a self-check. Try to reset you passwords and see what questions are asked to verify your identity. Some questions are better than others. Date of birth, for example, is bad. In addition to the DMV, there is a wealth of public records available online where folks can track down when you were born. Most account reset features give you a choice of questions or methods to use. Go for questions that ask about obscure things that you won't forget (or can at least look up), like your favorite frequent flyer number. Avoid questions that are easy to guess, such as which state you opened your bank account in. All of these are, of course, stopgap measures until we find better ways to prove our identities online.

忘れては行けないのは,一度オンラインデータをおくと,後で消すことができないということだ.
あなたが自分のことをブログに書けば書くほど,
SNSにプロフィールを追加すれば追加するほど,
あなたの情報はすぐに保存され,コピーされ,保存され分析されてしまう.
よく考えてから,投稿しよう.

It's also critical to remember that once you put data online, it's almost impossible to delete it later. The more you blog about yourself, the more details you put in your social networking profiles, the more information about you is being archived, copied, backed up and analyzed almost immediately. Think first, post later.

kimは,まだブログを書いている.
しかし前より提供する情報に気を使うようになり,
昔のパスワードとパスワード設定用の質問もかえた.
次にこれをやるときは.
彼女の好きな小学校の先生の名前を調べなければならない.

As for Kim, she's still blogging, but now she's a little more careful about the information she volunteers and has cleaned house on her old passwords and password reminder questions. Next time I do this, I'll have to figure out the name of her favorite primary school teacher.


No comments: