もう少しハッカーの投稿を眺めていると、おそらく該当アカウントのセキュリティ設定らしきものも暴露されていました。ハッカーいわく「ぶっちゃけ、こんな設定見たことある?」
設定画面は言語が変更されていますが、これは2要素認証の設定画面です。どうやら、2要素認証の設定は一切行われておらず、ハッカーは見事、認証マーク付きのアカウントを奪取したということになります。
これまでのTwitterの攻撃を見ていると、特に認証マークが付いたアカウントは利用価値が高く、IDはそのままにアイコンやアカウント名称を変更し、認証済みに見える偽アカウントをつくることが多々あります。これはアルファベットの羅列であるID名を判別する必要があるのですが、多くの人は認証マークがあることで安心してしまい、だまされる人が続出するため、そのような認証情報はおそらく高く売れるでしょう。
今回のアカウントも認証されているため、本当ならばひっそりと認証できることを確かめた後、一瞬別のアカウントに偽装し、フィッシングサイトに誘導するというのが定石だったはずです。しかし、このハッカーは自分の力を誇示することを選択し、多くの人がこの惨状を目にしました。
幸いなことに、サービスの基幹系業務には影響なく、被害に遭った企業はTwitterアカウントをしばらく運用停止するということ程度で済みました。ネットの上で活動する金融サービスにとって、ネットでのインシデントによるイメージ低下は計り知れないかもしれませんが、大きな事件につながることなく終わったのは運がよかったのかもしれません。
Twitterアカウントの乗っ取りはいろいろなところで報告されており、こういった公式アカウントや芸能人のアカウントだけでなく、一般の人、特に学生などでも多発しているように見えます。多くの場合はパスワードが弱く、自分や好きな人の誕生日がそのままパスワードになっていることも少なくありません。おそらく近い将来、そういった弱いパスワードへの対応は超AIがやってくれる(もしくは、そもそもアカウント設定時に辞書に載っているような弱いパスワードを登録させない)ようになってくれるでしょう。その日が来るまでは、自衛が必要。その方法は、今回のハッカーが教えてくれています。そう、2要素認証を必ず使うことです。
Twitterに限らず、2要素認証を設定可能なものについては、できる限り設定を行うこと。万が一弱いパスワードのままであったとしても、2要素認証を突破されることは現時点ではまれです。特に自分の人生に関わるような、銀行のアカウント、SNSのアカウント、電子マネーのアカウントには必ず設定しておくようにしましょう。「パスワードの使い回しをしない」よりも、簡単にできることだと思っています。
攻撃者に共感することはできませんが、人一倍セキュリティを学び、その対策の裏をかくことを常に考えている攻撃者の手口は参考になります。その攻撃者が勧める2要素認証、いますぐしっかりとチェックしましょう。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR