システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)
企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。
February 10, 2017 08:00
by 江添 佳代子
今回はTwitterアカウントにまつわる話題である。トランプが人々の注目を集めるうえで、Twitterは大きな役割を果たしてきた。彼がこれまで過激なツイートを大量に配信し、多くの支持と反感を呼んできたことは皆様もご存じだろう。
そのトランプは大統領に就任するまでの間、@realDonaldTrump を自身の公式アカウントとして利用していた。しかし1月19日には「米国大統領トランプ」の新たなアカウント@POTUSが開設されたため(※1)、これら2つのアカウントが「トランプの公式アカウント」として扱われることとなった。
※1 POTUS=President of the United Statesの略。ちなみに第44代大統領のオバマが利用していたアカウントは@POTUS44だった。
その翌日、つまり大統領就任式が行われた1月20日、WauchulaGhostの名で知られる一人のハッカーが、新設アカウント@POTUSの深刻な脆弱性を発見した。それは大統領にメンションを送る形の短いツイートによって報告されている。
Hey @POTUS, On a serious note. Lets fix your Security settings. Should I email you? #GhostOfNoNation @realDonaldTrump pic.twitter.com/FRdMJnZaNr
— WauchulaGhost (@WauchulaGhost) 2017年1月21日
「やあ大統領、真面目な話だ。セキュリティ設定を直そうよ。メールを送ろうか?」
このツイートに添えられた一枚の画像は、驚くべき2つの事実を物語るものだった。パスワードリセット設定の問題と、アカウントに紐づけられたメールアドレスの問題である。ピンとこなかった方のために詳しく説明しよう。WauchulaGhostは凄腕のハッカーだが、これは高度なハッキングの話ではなく、とても単純な内容だ。
通常、自分のTwitterアカウントのパスワードを忘れてしまったユーザーは、パスワードをリセットするためのページを訪問する。そして自分が登録したメールアドレスか携帯電話の番号、または「ユーザー名」のいずれか一つを入力して送信する。そのアカウントがデフォルトの設定なら、アカウントに紐付けられたメールアドレスや電話番号が一部伏せられた状態で一覧表示される。ユーザーはその中から「自分のパスワードをリセットするための情報をどこへ送信するのか」を選択することになる。
しかし「ユーザー名」は本人でなくとも分かるので、あなたもパスワードリセットのページを訪れて「気になるアカウントのユーザー名」を入力すれば、そのアカウントがどんなメールアドレスで登録されているのかを部分的に見ることができる。WauchulaGhostのツイートに添付されているのは、それを「POTUS」で行ったときに表示される画面のキャプチャ画像だ。
このような手法で他人に個人情報の一部を知られてしまう問題は簡単に回避できる。各自がアカウントのセキュリティ設定から「パスワードリセット」の項目を選び、個人情報の入力を要求するように変更すればよい。チェックボックスをひとつ操作するだけだ。しかし大統領のアカウントでは、その対策が行われていなかった。
しかし、そのパスワードリセット設定の甘さよりも驚くべきなのは、ここで表示されたメールアドレスがGmailだったことだ。つまり、そのフリーメールのクラックにさえ成功すれば、1500万近いフォロワー数を誇る米国大統領の公式アカウントは、乗っ取り放題だった可能性が高い(※2)。
個人ユーザーがTwitterアカウントの登録にフリーメールを用いるのは、決して珍しいことではないだろう。しかし不正アクセスのリスクを考えるなら、ビジネス用のアカウントや著名人の公式アカウントで、フリーメールを用いるのは推奨されることではない。ましてホワイトハウスが、大統領の公式アカウントの登録にGmailの利用を許可していた(もしくは、どんなアドレスで登録するのかをチェックしていなかった)というのは信じられない話である。
※2 ここで「乗っ取り放題だった」と断言していないのは、このアカウントがログインのたびに2要素認証を利用していたという可能性もゼロではないからだ。しかしホワイトハウスでGalaxy S3を使う人物が、その面倒な工程に耐えられるかは甚だ疑問である。
WauchulaGhostからメンションを送られた直後、このセキュリティ問題に気づいたホワイトハウスの担当者は、すぐに自力で対処しようとしたようだ。しかし、それはWauchulaGhostやフォロワーたちをますます楽しませる行動となった。
何が起きたのか? まずパスワードリセットの設定は変更されなかった。そして「アカウントに紐付けられた個人情報」から、携帯電話の番号と2つめのメールアドレスが消えた。つまり、最も危険なGmailのアドレスが、ぽつんと一つだけ残されたのだ。この対応を見たWauchulaGhostは、すかさず反応した。
Hey @POTUS, Ok, So I'm seriously laughing right now. But Glad you're paying attention. But, You might want to email me. #GhostOfNoNation pic.twitter.com/wFZAsgs1O0
— WauchulaGhost (@WauchulaGhost) 2017年1月21日
「なあ大統領。もういい、私は本当に大笑いしてる。無視されなかったのは嬉しいけどね。でも本当に、私に連絡したほうがいいんじゃないのかな」
(その4に続く)
1
日本で進むネット世論操作と右傾化
March 29, 2018
2
政府系サイトも被害多数! 暗号通貨のマイニングコードがプラグイン経由で仕込まれる
February 16, 2018
3
悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(後編)
February 9, 2018
4
多くの生体認証は手軽に突破可能!? 百度のハッカーが語る「生体認証の破り方」
March 6, 2018
5
世界をリードする南米のATMハッキング術
March 23, 2018
6
核兵器を超えたフェイクニュースの脅威 ロシアのハイブリッド戦闘能力(前編)
February 1, 2018
7
スマートフォンの指紋認証をセロハンテープでハッキング
February 5, 2018
8
「教科書アダルトリンク事件」の犯人が逮捕される
February 13, 2018
9
悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(前編)
February 8, 2018
10
中国ホワイトハッカーが選ぶ「中国黒産業5大事件」2017年版
March 26, 2018