トランプ政権のへっぽこセキュリティ事件簿 (3) Twitterハッキング危機一髪

江添 佳代子

February 10, 2017 08:00
by 江添 佳代子

今回はTwitterアカウントにまつわる話題である。トランプが人々の注目を集めるうえで、Twitterは大きな役割を果たしてきた。彼がこれまで過激なツイートを大量に配信し、多くの支持と反感を呼んできたことは皆様もご存じだろう。

そのトランプは大統領に就任するまでの間、@realDonaldTrump を自身の公式アカウントとして利用していた。しかし1月19日には「米国大統領トランプ」の新たなアカウント@POTUSが開設されたため(※1)、これら2つのアカウントが「トランプの公式アカウント」として扱われることとなった。
 
※1 POTUS=President of the United Statesの略。ちなみに第44代大統領のオバマが利用していたアカウントは@POTUS44だった。

大統領、助けてやろうか?

その翌日、つまり大統領就任式が行われた1月20日、WauchulaGhostの名で知られる一人のハッカーが、新設アカウント@POTUSの深刻な脆弱性を発見した。それは大統領にメンションを送る形の短いツイートによって報告されている。


「やあ大統領、真面目な話だ。セキュリティ設定を直そうよ。メールを送ろうか?」

このツイートに添えられた一枚の画像は、驚くべき2つの事実を物語るものだった。パスワードリセット設定の問題と、アカウントに紐づけられたメールアドレスの問題である。ピンとこなかった方のために詳しく説明しよう。WauchulaGhostは凄腕のハッカーだが、これは高度なハッキングの話ではなく、とても単純な内容だ。

パスワードリセットの設定で情報がわかる

通常、自分のTwitterアカウントのパスワードを忘れてしまったユーザーは、パスワードをリセットするためのページを訪問する。そして自分が登録したメールアドレスか携帯電話の番号、または「ユーザー名」のいずれか一つを入力して送信する。そのアカウントがデフォルトの設定なら、アカウントに紐付けられたメールアドレスや電話番号が一部伏せられた状態で一覧表示される。ユーザーはその中から「自分のパスワードをリセットするための情報をどこへ送信するのか」を選択することになる。

しかし「ユーザー名」は本人でなくとも分かるので、あなたもパスワードリセットのページを訪れて「気になるアカウントのユーザー名」を入力すれば、そのアカウントがどんなメールアドレスで登録されているのかを部分的に見ることができる。WauchulaGhostのツイートに添付されているのは、それを「POTUS」で行ったときに表示される画面のキャプチャ画像だ。

このような手法で他人に個人情報の一部を知られてしまう問題は簡単に回避できる。各自がアカウントのセキュリティ設定から「パスワードリセット」の項目を選び、個人情報の入力を要求するように変更すればよい。チェックボックスをひとつ操作するだけだ。しかし大統領のアカウントでは、その対策が行われていなかった。

しかし、そのパスワードリセット設定の甘さよりも驚くべきなのは、ここで表示されたメールアドレスがGmailだったことだ。つまり、そのフリーメールのクラックにさえ成功すれば、1500万近いフォロワー数を誇る米国大統領の公式アカウントは、乗っ取り放題だった可能性が高い(※2)。

個人ユーザーがTwitterアカウントの登録にフリーメールを用いるのは、決して珍しいことではないだろう。しかし不正アクセスのリスクを考えるなら、ビジネス用のアカウントや著名人の公式アカウントで、フリーメールを用いるのは推奨されることではない。ましてホワイトハウスが、大統領の公式アカウントの登録にGmailの利用を許可していた(もしくは、どんなアドレスで登録するのかをチェックしていなかった)というのは信じられない話である。
 
※2 ここで「乗っ取り放題だった」と断言していないのは、このアカウントがログインのたびに2要素認証を利用していたという可能性もゼロではないからだ。しかしホワイトハウスでGalaxy S3を使う人物が、その面倒な工程に耐えられるかは甚だ疑問である。

恥の上塗り

WauchulaGhostからメンションを送られた直後、このセキュリティ問題に気づいたホワイトハウスの担当者は、すぐに自力で対処しようとしたようだ。しかし、それはWauchulaGhostやフォロワーたちをますます楽しませる行動となった。

何が起きたのか? まずパスワードリセットの設定は変更されなかった。そして「アカウントに紐付けられた個人情報」から、携帯電話の番号と2つめのメールアドレスが消えた。つまり、最も危険なGmailのアドレスが、ぽつんと一つだけ残されたのだ。この対応を見たWauchulaGhostは、すかさず反応した。


「なあ大統領。もういい、私は本当に大笑いしてる。無視されなかったのは嬉しいけどね。でも本当に、私に連絡したほうがいいんじゃないのかな」
 
その4に続く)




江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

ロシア下院が「VPNやプロキシを禁じる新しい法案」を採択

July 26, 2017 08:00

by 江添 佳代子

ロシア連邦議会下院は2017年7月21日、市民のインターネット利用を制限するための法案を全会一致で採択した。 これはロシアでのVPNやプロキシなどの利用を非合法化する法になると伝えられている。この採択を受け、モスクワでは2000人以上の市民が「インターネットの自由」や「ロシア当局によるオンライン監視…

中国北京市に大量の偽携帯基地局が存在する理由

July 25, 2017 08:00

by 牧野武文

以前、偽の携帯電話基地局から大量の広告ショートメッセージ(SMS)を発信した事件をお伝えした。その際、偽携帯基地局からのSMSは、発信元の電話番号を自由に偽装できるため、受信者側では本物のSMSなのか、偽物なのかの見分けがつかないという危険性を指摘した。案の定、中国で、偽携帯基地局から発信したSMS…

Must Popular