Twitterにハッキング、侵入にYahoo!メールを利用

[Brian Prince，eWEEK]

　フランスのハッカーがソーシャルエンジニアリングを利用してTwitterの管理者権限を手に入れ、何人かの有名人のデータのスクリーンショットをネットに掲載したとされている。

　Hacker Crollと名乗るこのハッカーは、Twitterの管理者パネルのスクリーンショット13枚を投稿している。スクリーンショットには、アシュトン・カッチャー、ブリトニー・スピアーズ、バラク・オバマ米大統領などの有名人のアカウントの内部データが含まれている。

　Twitterにコメントを求めたが、回答はなかった。スクリーンショットは本物とみられ、Hacker CrollはまずTwitterの管理者のYahoo!アカウントに侵入し、Twitterのパスワードを盗んで管理者アカウントをハッキングした可能性がある。

　Crollはオンラインフォーラムへの投稿で、自分が使ったのはソーシャルエンジニアリングだけで、「攻撃コード、XSS（クロスサイトスクリプティング）の脆弱性、バックドア、SQLインジェクションは使っていない」と述べている。

　「Twitter管理者の1人がYahoo!アカウントを持っており、わたしは秘密の質問に答えることでこのアカウントのパスワードをリセットした。それからメール受信箱でTwitterのパスワードを見つけた」とCrollは説明している。

　このハッキングの後、4月にTwitterでワーム攻撃が相次いだ。ワームはユーザーにとってはどちらかといえば煩わしい程度のもので、スパムを広める以上の危害は及ぼさなかったと考えられている。

　企業は次第にTwitter、Facebook、LinkedInなどのソーシャルネットワーキングサービス（SNS）がセキュリティに及ぼす影響を懸念するようになっている。Sophosのオンライン調査によると、709人の回答者のうち63％が、従業員がSNSのプロフィールに多くの個人情報を載せて、企業のデータを危険にさらすことを心配している。回答者の勤務先の4分の1がTwitter、Facebook、MySpace、LinkedInなどのサイトを経由したスパム、フィッシング、マルウェア攻撃を受けたことがあることも分かった。

　Facebookは4月27日の週に、ユーザーからアカウント情報をだまし取ろうとするフィッシング攻撃に見舞われた。まずユーザーに、不正なリンクを含んだ「Look at this!」という件名のメールが届き、ユーザーがリンクをクリックすると、偽のログインページに転送される。

　Sophosは企業に、社員の行動が企業ネットワークに及ぼす影響について全従業員に周知し、特定の期間、特定のSNSへのアクセスをフィルタリングすることを検討するよう助言している。さらに企業は定期的に設定を見直して、ユーザーが信頼できる相手とのみ業務関連の情報を共有するよう手を打つ必要がある。

　「より総体的なアプローチ――包括的なユーザー教育だけでなく、セキュリティ・管理ソリューションの強化への投資――によって、SNSのリスクに対処する態勢を強化できる」とSophosの上級技術コンサルタント、グラハム・クルーリー氏はブログで述べている。

原文へのリンク