攻撃者もこれなら”イイネ”と太鼓判を押してくれるかな? いますぐやるべきSNSの基本設定:サイバーセキュリティ2029(2/2 ページ)
もう少しハッカーの投稿を眺めていると、おそらく該当アカウントのセキュリティ設定らしきものも暴露されていました。ハッカーいわく「ぶっちゃけ、こんな設定見たことある?」
設定画面は言語が変更されていますが、これは2要素認証の設定画面です。どうやら、2要素認証の設定は一切行われておらず、ハッカーは見事、認証マーク付きのアカウントを奪取したということになります。
これまでのTwitterの攻撃を見ていると、特に認証マークが付いたアカウントは利用価値が高く、IDはそのままにアイコンやアカウント名称を変更し、認証済みに見える偽アカウントをつくることが多々あります。これはアルファベットの羅列であるID名を判別する必要があるのですが、多くの人は認証マークがあることで安心してしまい、だまされる人が続出するため、そのような認証情報はおそらく高く売れるでしょう。
今回のアカウントも認証されているため、本当ならばひっそりと認証できることを確かめた後、一瞬別のアカウントに偽装し、フィッシングサイトに誘導するというのが定石だったはずです。しかし、このハッカーは自分の力を誇示することを選択し、多くの人がこの惨状を目にしました。
幸いなことに、サービスの基幹系業務には影響なく、被害に遭った企業はTwitterアカウントをしばらく運用停止するということ程度で済みました。ネットの上で活動する金融サービスにとって、ネットでのインシデントによるイメージ低下は計り知れないかもしれませんが、大きな事件につながることなく終わったのは運がよかったのかもしれません。
ハッカーが教えるSNSアカウントセキュリティの極意
Twitterアカウントの乗っ取りはいろいろなところで報告されており、こういった公式アカウントや芸能人のアカウントだけでなく、一般の人、特に学生などでも多発しているように見えます。多くの場合はパスワードが弱く、自分や好きな人の誕生日がそのままパスワードになっていることも少なくありません。おそらく近い将来、そういった弱いパスワードへの対応は超AIがやってくれる(もしくは、そもそもアカウント設定時に辞書に載っているような弱いパスワードを登録させない)ようになってくれるでしょう。その日が来るまでは、自衛が必要。その方法は、今回のハッカーが教えてくれています。そう、2要素認証を必ず使うことです。
Twitterに限らず、2要素認証を設定可能なものについては、できる限り設定を行うこと。万が一弱いパスワードのままであったとしても、2要素認証を突破されることは現時点ではまれです。特に自分の人生に関わるような、銀行のアカウント、SNSのアカウント、電子マネーのアカウントには必ず設定しておくようにしましょう。「パスワードの使い回しをしない」よりも、簡単にできることだと思っています。
攻撃者に共感することはできませんが、人一倍セキュリティを学び、その対策の裏をかくことを常に考えている攻撃者の手口は参考になります。その攻撃者が勧める2要素認証、いますぐしっかりとチェックしましょう。
関連記事
デジタルガジェットとしてのマイナンバーカードを考える
嫌われがち、不要と言われるマイナンバーカードも別の視点からみると、けっこう面白い。
「セキュリティと利便性はトレードオフ」はウソ? 生体認証とゼロトラストセキュリティ
例えばClubhouseでは連絡先へのアクセスが求められますが、それでいいのでしょうか?
コンビニATMのイーネット、公式Twitterが乗っ取り被害に 「全口座を閉鎖」「騒ぐな」などツイートされる
イーネットは、同社の公式Twitterアカウントが何者かに乗っ取られ「全口座を閉鎖する」「ハッキングされたと騒ぐな」など、意図しないツイートが投稿されたとして謝罪した。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR
ITmediaはアイティメディア株式会社の登録商標です。