Facebookを中国当局がクラッキング中

シェアする

偽造証明書の次はコードのすり替え

中国当局がFacebookをクラッキング中

中国当局がFacebookのモジュールコードをクラッキングしている。3月末から4月にかけてルート証明書の偽造をしてGoogleやMozillaからバッサリ斬られたばかりだが、まったく懲りていないようだ。中国に在住、渡航中の人は要注意だ。

Facebook認証が攻撃対象

中国でFacebook自体は使えない。これはいろいろなニュースで知っているだろう。今回は、Facebookを使った認証機能が攻撃の対象だ。たとえばだが、レシピで有名なクックパッドやLINEなどにこの機能がある。ユーザ登録を個別にやらなくても、Facebookを使うことで一元的に認証ができる機能だ。

中国当局がFacebookをクラッキング中

このFacebookでの認証(ログイン)モジュールが、中国当局のネットワーク管轄内で勝手にすり替えされてしまう。すり替えされたあとは、認証がまったくできず、認証元のサイトにそのままリダイレクトされてしまうようだ。

ネットでは中国在住の外国人やエンジニアを中心にこの話題で炎上している模様(Twitterでの報告)。

中国当局がFacebookをクラッキング中

セキュリティ上、深刻な問題

コードのすり替えや、強制リダイレクト自体は今回が始めてではない。コードのすり替えで最近話題になったのは、中国のキャノン砲問題だ。この時は、百度への検索アクセスの一部を中国の検閲ウオッチングしているサイトに振り向け、一時的にサイトをダウンさせた。中国によるサイバーテロと呼んでいい。

China’s ‘Great Cannon’ can intercept and redirect web traffic

ネット検閲を強化する中国、新兵器「巨砲」で他国のトラフィックも標的に

また、強制リダイレクトで有名なのは、Skypeだ。Skypeの正式なサイトは「http://www.skype.com」なのだが、中国でVPNなしでアクセスすると中国当局が認可した「http://skype.gmw.cn」にリダイレクトされてしまう。ここのSkypeは本来のSkypeにはない機能が搭載されている。それは、メッセージの内容や音声通話内容を当局が傍受できるというもの。日本や欧米では当たり前の通信の秘密がまったく守られていないのだ。

改めて認識したい自己防衛

中国では通信の秘密が守られていない以前の話に、そもそも人権がない。当然、財産権なども法文上あっても、実際には存在しない。中国に長期赴任や出張する場合は、ここをよく認識する必要がある。

もちろん、「自分にはお金もないし、聞かれて困るようなことはない!」と開き直るのも手ではある。ただ、クレジットカード番号や暗証番号を勝手に使われて、見に覚えのない借金を突然負う可能性があると言われたらどうだろうか?全額返済するまで出国を禁止されたら、手のうちようがない。泣き寝入りするしかないだろう。

そうならないためにも、中国を始めとする警察国家に長期・短期問わず、滞在する場合は自己防衛を講じる必要がある。2014年時点でのSNS-国家マップがあるので参考になるだろう。

中国当局がFacebookをクラッキング中

今日、仕事でもプライベートでも、ネットワークは絶対必須だ。そのような環境において、自己防衛するためにもVPNなどを使って、自分の通信の安全を最低限確保し自己防衛に努めてほしい。

コメント

  1. EXAMPLE より:

     もしも検閲の厳しい中国国内からFacebookを使用したければTorのHiddenserviceを介して接続したほうが安全です。アドレスはhttps://facebookcorewwwi.onion/で、通信は通常のSSL/TLSを使っていますのでTorリレーノードにも内容が盗聴される恐れはありません。その証明書もDigiCertが発行しています。VPNをわざわざ介してFacebookにアクセスするよりもTorを使用したほうがより安全でお金もかからないと個人的に思います。
     記事にもあるとおり、Javascript等を通して生のIPアドレスを取得しようとする攻撃があります。そういった攻撃を避けるため、出来る限りJSを無効化するなど安全に配慮しているTorBrowserを使ったほうが通常のブラウザとVPNを併用するよりも好ましいのではないかと個人的に思っています。

    • EXAMPLEさん

      コメントありがとうございます。
      私の場合、ブラウザ周り以外に使っている通信(と言うかアプリ)があるので、PCをまるっと国外に出してくれるVPNを紹介しています。
      あと、Torの場合、普段使っているモバイル端末でアプリ含めて使おうとするとroot取得が必要となるのも理由だったりします。