2012/08/08
12:40
Tag: 米GizmodeのTwitter公式アカウントが奪取されたニュースが、今話題になっています。
話題になっているのは、アカウントが奪取されたこと自体ではなく、その手口です。
- GizmodoのTwitter乗っ取られる 原因は元記者のiCloudアカウント窃盗 - ITmedia ニュース
- 米記者のiCloudアカウント乗っ取り、AmazonとAppleをだまして実行か - ITmedia エンタープライズ
- How Apple and Amazon Security Flaws Led to My Epic Hacking - Wired.com
掻い摘んで説明すると、今回アカウントが乗っ取られた手口は以下の通りです。
- Twitterプロフィールから、本人のホームページのURLを入手
- ホームページから、Gmailアドレス(=Twitter登録アドレス)を入手
- Gmailの”予備のメールアドレス”(=iCloudメール)のローカル部分の一部から、Gmailアドレスのローカル部と同一であると類推
- ホームページの独自ドメインから、Whoisにより住所を特定(本名・メールアドレスもここから入手可能)
- カスタマーサポートから、Amazonアカウントに架空のクレジットカード番号を登録
- カスタマーサポートから、Amazonアカウントに新しいメールアドレスを設定(=Amazonアカウント奪取完了)し、本物のクレジットカード番号(下4桁)を入手
- カスタマーサポートから、iCloudアカウントのパスワードをリセットしてもらう(=iCloudアカウント奪取完了)
- iCloudメール(=Google予備メールアドレス)から、Gmailパスワードを再設定する(=Gmailアカウント奪取完了)
- Twitterアカウントのパスワードを再設定する(=Twitterアカウント奪取完了)
一連の流れを見ると、現行制度の隙間をうまく付いた手口ということがわかります。
ちょうど、乗り継ぎ時のセキュリティホールを突いた、全日空61便ハイジャック事件(wikipedia)みたいですね。
今回の件を受け、Appleは早くも対策に動き出したようです。
ですが、この一連の流れを見て私が思うのは、アカウントを奪取された方の以下の落ち度です。
- Googleアカウントに2段階認証を設定していなかった
- 乗っ取られると困るGmailアドレスを公開していた
- メールアドレスのローカル部の一部から類推できるiCloudメールアドレスを、Google予備メールアドレスとして設定していた
これまでは、個々のサービスに対するアカウントのパスワードを強化する方法が、アカウントを守る一般的な方法でした。
ですが、今回の手口は、それぞれのアカウントのパスワードを一切突破すること無く、個人の落ち度と制度の欠陥をうまく突くことで、アカウント乗っ取りを達成しています。
かと言って、今回の乗っ取りは、こうした欠陥が無くても、パスワードを何とか突破したりして最終的に乗っ取られてしまう可能性もあります。公式アカウントの宿命とも言えますが・・・
これを機に、皆さんも一度、どの情報をどこまで公開していて、各アカウントの救出方法・パスワードの変更方法といった点を確認しておくほうが良いかもしれないですね。
特に、各アカウントの連携(Amazon→iCloud)といったような、情報の動線にも気を使うようにしましょう。
