redditに不正アクセス、二要素認証では守り切れず

同社は二要素認証（2FA）を義務付けていたにもかかわらず、SMSベースの認証では守り切れず、SMSインターセプトを通じて攻撃を仕掛けられたという。

[鈴木聖子，ITmedia]

　米ソーシャルニュースサイトのredditは2018年8月1日（米国時間）、同社のシステムが何者かに不正侵入され、一部ユーザーの電子メールなどの情報にアクセスされたと発表した。

　redditの説明によると、6月14日から18日にかけて、複数の従業員が使っていたクラウドプロバイダーやソースコードホスティングプロバイダーのアカウントが何者かに不正侵入されていたことが、6月19日になって発覚したという。

redditはシステムが何者かに不正侵入されて、一部ユーザーの情報にアクセスされたことを明らかにした

　同社は、コードやインフラへのアクセスに対して二要素認証（Two-Factor Authentication：2FA）を義務付けていたにもかかわらず、SMS（ショートメッセージサービス）ベースの認証では守り切れずに、SMSインターセプトを通じて攻撃を仕掛けられたという。同社はこの事態を受け、トークンベースの2FAへの切り替えを促している。

　ただ、攻撃者が取得したのは、バックアップデータやソースコードなどを保存したシステムに対する読み取り専用のアクセス権のみで、書き込みができるアクセス権は取得されておらず、redditの情報が改ざんされることはなかったとしている。

　ユーザー情報については、redditのサイトが開設された2005年から2007年5月までのデータを記録したデータベースのバックアップが不正アクセスされていたことが判明。このデータには、当時のユーザーのユーザー名やソルトとハッシュを施したパスワード、電子メールアドレス、プライベートメッセージなど、全コンテンツが含まれる。

　さらに、redditが2018年6月3日から17日に送信した電子メールダイジェストに関連して、一部ユーザーのメールアドレスなどが流出したという。

　同社は被害に遭った可能性があるユーザーには連絡を取り、パスワードのリセットを促している。事件については捜査当局に通報するとともに、事実関係を詳しく調査し、再発防止策を講じたと説明している。