トランプ政権のへっぽこセキュリティ事件簿 (3) Twitterハッキング危機一髪

江添 佳代子

February 10, 2017 08:00
by 江添 佳代子

今回はTwitterアカウントにまつわる話題である。トランプが人々の注目を集めるうえで、Twitterは大きな役割を果たしてきた。彼がこれまで過激なツイートを大量に配信し、多くの支持と反感を呼んできたことは皆様もご存じだろう。

そのトランプは大統領に就任するまでの間、@realDonaldTrump を自身の公式アカウントとして利用していた。しかし1月19日には「米国大統領トランプ」の新たなアカウント@POTUSが開設されたため(※1)、これら2つのアカウントが「トランプの公式アカウント」として扱われることとなった。
 
※1 POTUS=President of the United Statesの略。ちなみに第44代大統領のオバマが利用していたアカウントは@POTUS44だった。

大統領、助けてやろうか?

その翌日、つまり大統領就任式が行われた1月20日、WauchulaGhostの名で知られる一人のハッカーが、新設アカウント@POTUSの深刻な脆弱性を発見した。それは大統領にメンションを送る形の短いツイートによって報告されている。


「やあ大統領、真面目な話だ。セキュリティ設定を直そうよ。メールを送ろうか?」

このツイートに添えられた一枚の画像は、驚くべき2つの事実を物語るものだった。パスワードリセット設定の問題と、アカウントに紐づけられたメールアドレスの問題である。ピンとこなかった方のために詳しく説明しよう。WauchulaGhostは凄腕のハッカーだが、これは高度なハッキングの話ではなく、とても単純な内容だ。

パスワードリセットの設定で情報がわかる

通常、自分のTwitterアカウントのパスワードを忘れてしまったユーザーは、パスワードをリセットするためのページを訪問する。そして自分が登録したメールアドレスか携帯電話の番号、または「ユーザー名」のいずれか一つを入力して送信する。そのアカウントがデフォルトの設定なら、アカウントに紐付けられたメールアドレスや電話番号が一部伏せられた状態で一覧表示される。ユーザーはその中から「自分のパスワードをリセットするための情報をどこへ送信するのか」を選択することになる。

しかし「ユーザー名」は本人でなくとも分かるので、あなたもパスワードリセットのページを訪れて「気になるアカウントのユーザー名」を入力すれば、そのアカウントがどんなメールアドレスで登録されているのかを部分的に見ることができる。WauchulaGhostのツイートに添付されているのは、それを「POTUS」で行ったときに表示される画面のキャプチャ画像だ。

このような手法で他人に個人情報の一部を知られてしまう問題は簡単に回避できる。各自がアカウントのセキュリティ設定から「パスワードリセット」の項目を選び、個人情報の入力を要求するように変更すればよい。チェックボックスをひとつ操作するだけだ。しかし大統領のアカウントでは、その対策が行われていなかった。

しかし、そのパスワードリセット設定の甘さよりも驚くべきなのは、ここで表示されたメールアドレスがGmailだったことだ。つまり、そのフリーメールのクラックにさえ成功すれば、1500万近いフォロワー数を誇る米国大統領の公式アカウントは、乗っ取り放題だった可能性が高い(※2)。

個人ユーザーがTwitterアカウントの登録にフリーメールを用いるのは、決して珍しいことではないだろう。しかし不正アクセスのリスクを考えるなら、ビジネス用のアカウントや著名人の公式アカウントで、フリーメールを用いるのは推奨されることではない。ましてホワイトハウスが、大統領の公式アカウントの登録にGmailの利用を許可していた(もしくは、どんなアドレスで登録するのかをチェックしていなかった)というのは信じられない話である。
 
※2 ここで「乗っ取り放題だった」と断言していないのは、このアカウントがログインのたびに2要素認証を利用していたという可能性もゼロではないからだ。しかしホワイトハウスでGalaxy S3を使う人物が、その面倒な工程に耐えられるかは甚だ疑問である。

恥の上塗り

WauchulaGhostからメンションを送られた直後、このセキュリティ問題に気づいたホワイトハウスの担当者は、すぐに自力で対処しようとしたようだ。しかし、それはWauchulaGhostやフォロワーたちをますます楽しませる行動となった。

何が起きたのか? まずパスワードリセットの設定は変更されなかった。そして「アカウントに紐付けられた個人情報」から、携帯電話の番号と2つめのメールアドレスが消えた。つまり、最も危険なGmailのアドレスが、ぽつんと一つだけ残されたのだ。この対応を見たWauchulaGhostは、すかさず反応した。


「なあ大統領。もういい、私は本当に大笑いしてる。無視されなかったのは嬉しいけどね。でも本当に、私に連絡したほうがいいんじゃないのかな」
 
その4に続く)




ハッカーの系譜(10)マービン・ミンスキー (10) 多層化することで問題を解決

March 30, 2017 08:00

by 牧野武文

多層化することでXOR問題を乗り越えられる パーセプトロンの第1の進化は多層化だ。ミンスキーが指摘したように、パーセプトロンはXORの論理演算結果を学習することができない。前回示したように、XORの演算結果は線形分離不可能、つまり直線で真と偽のグループにわけることができないからだ。 しかし、実はちょ…

POSマルウェアの恐怖 (4) クレジットカード番号が顧客番号や業務処理のキーとして活用される

March 29, 2017 08:00

by 牧野武文

  ・POSマルウェアの恐怖(1) PCI DSSに準拠しても防げない? 狙われるPOSシステム ・POSマルウェアの恐怖(2) カード情報が平文で通信されるシステム ・POSマルウェアの恐怖(3) カード情報を全プロセスで暗号化する「PCI P2PE」はPOSマルウェア攻撃を防げるか POSレジを…

IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(後編)

March 28, 2017 08:00

by 江添 佳代子

  →IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(前編) →IoTヌイグルミは口が軽い!? ユーザー情報82万件がダダ漏れに(中編) 何も知らされていなかったユーザー ここでいったん時系列を確認しよう。ハントやロレンゾに情報を提供した人物がCloudPetsへの連絡を試みたのは…

中国で9億アカウントが利用する「WiFi万能鍵」が1308種類の偽アプリを一掃

March 27, 2017 10:30

by 牧野武文

『中国経済網』の報道によると、中国で大人気のアプリ「WiFi万能鍵」を開発した上海連尚科技有限公司は、今年3月までに、1308種類の偽アプリを一掃したと発表した。 アカウント数9億件を超える無線LANユーティリティーソフト WiFi万能鍵は、公衆無線LANに自動接続するAndroid・iOSアプリ。…