Now Playing Tracks

SkypeのメッセージをMicrosoftが盗み見て検閲していることがほぼ確定

ドイツのニュースサイトハイス・セキュリティによって明かされたMicrosoftがSkypeのIMを閲覧していたという一件に失望した1人のネットユーザーアダムさんが、ハイス・セキュリティが使用した方法とは違い、より確実に判別できるやり方で、SkypeのIMがMicrosoftによって検閲されていることを確認しました。

[cryptography] skype backdoor confirmation
http://lists.randombit.net/pipermail/cryptography/2013-May/004224.html

アダムさんが行ったテストは、まず初めにファイル名をサーチエンジンで検索しても絶対に検索結果として表示されないようにランダム生成された長いファイル名のPHPをセットアップ。このPHPに、自動的に特定のページにジャンプさせるMeta refreshタグを組み込んで、PHPをクリックするとマルウェアサイトにジャンプするように設定しました。また、argsおよびリフレッシュタグを含まないHTMLも作成。PHPのほうには?user=foo&password=barを介して、ユーザーネームとパスワードを譲渡。アダムさんは作成したPHPとHTMLの2つのリンクをSkypeのIMで友人のイアン・グリッグさんに送りました。グリッグさんには、送られてきたリンクを絶対にクリックしたらダメ!というメッセージも送信されたとのこと。

アダムさんがSkypeのIMでリンクをグリッグさんに送信してから45分後に、下記のHEADリクエストがApache HTTP Serverで確認されました。

65.52.100.214 - - [16/May/2013:13:14:03 -0400] “HEAD /CuArhuk2veg1owOtiTofAryib7CajVisBeb8.html HTTP/1.1” 200 -
65.52.100.214 - - [16/May/2013:14:08:52 -0400] “HEAD /CuArhuk2veg1owOtiTofAyarrUg5blettOlyurc7.php?user=foo&pass=yeahright HTTP/1.1” 200 -



Apache HTTP Serverで確認された2つのログが意味することは、セットアップされたばかりでアダムさんとグリッグさんしか知らないはずのリンクに何者かがアクセスしたということです。しかもリンクはランダム生成された通常より長いものなので、アダムさんとグリッグさんのIMを読み取らない限り、誰にもわからないはず。誰がアクセスしたとのかということは、HEADリクエストに含まれるIPアドレスから判別可能。今回のテストでApache HTTP Serverに残されたログのIPアドレスはワシントン州レドモンドにあるMicrosoftを示す65.52.100.214でした。

アダムさんが行った今回のテストから、MicrosoftがSkypeのIMを見ていることは99%確実となりました。アダムさんによるとSkypeを利用するのが不安なら、Mac OS Xで動作し、Skypeと連携できるAdiumなど別のIMサービスで代用することもできるとのことです。

To Tumblr, Love Pixel Union