トランプ政権のへっぽこセキュリティ事件簿 (3) Twitterハッキング危機一髪

江添 佳代子

February 10, 2017 08:00
by 江添 佳代子

今回はTwitterアカウントにまつわる話題である。トランプが人々の注目を集めるうえで、Twitterは大きな役割を果たしてきた。彼がこれまで過激なツイートを大量に配信し、多くの支持と反感を呼んできたことは皆様もご存じだろう。

そのトランプは大統領に就任するまでの間、@realDonaldTrump を自身の公式アカウントとして利用していた。しかし1月19日には「米国大統領トランプ」の新たなアカウント@POTUSが開設されたため(※1)、これら2つのアカウントが「トランプの公式アカウント」として扱われることとなった。
 
※1 POTUS=President of the United Statesの略。ちなみに第44代大統領のオバマが利用していたアカウントは@POTUS44だった。

大統領、助けてやろうか?

その翌日、つまり大統領就任式が行われた1月20日、WauchulaGhostの名で知られる一人のハッカーが、新設アカウント@POTUSの深刻な脆弱性を発見した。それは大統領にメンションを送る形の短いツイートによって報告されている。


「やあ大統領、真面目な話だ。セキュリティ設定を直そうよ。メールを送ろうか?」

このツイートに添えられた一枚の画像は、驚くべき2つの事実を物語るものだった。パスワードリセット設定の問題と、アカウントに紐づけられたメールアドレスの問題である。ピンとこなかった方のために詳しく説明しよう。WauchulaGhostは凄腕のハッカーだが、これは高度なハッキングの話ではなく、とても単純な内容だ。

パスワードリセットの設定で情報がわかる

通常、自分のTwitterアカウントのパスワードを忘れてしまったユーザーは、パスワードをリセットするためのページを訪問する。そして自分が登録したメールアドレスか携帯電話の番号、または「ユーザー名」のいずれか一つを入力して送信する。そのアカウントがデフォルトの設定なら、アカウントに紐付けられたメールアドレスや電話番号が一部伏せられた状態で一覧表示される。ユーザーはその中から「自分のパスワードをリセットするための情報をどこへ送信するのか」を選択することになる。

しかし「ユーザー名」は本人でなくとも分かるので、あなたもパスワードリセットのページを訪れて「気になるアカウントのユーザー名」を入力すれば、そのアカウントがどんなメールアドレスで登録されているのかを部分的に見ることができる。WauchulaGhostのツイートに添付されているのは、それを「POTUS」で行ったときに表示される画面のキャプチャ画像だ。

このような手法で他人に個人情報の一部を知られてしまう問題は簡単に回避できる。各自がアカウントのセキュリティ設定から「パスワードリセット」の項目を選び、個人情報の入力を要求するように変更すればよい。チェックボックスをひとつ操作するだけだ。しかし大統領のアカウントでは、その対策が行われていなかった。

しかし、そのパスワードリセット設定の甘さよりも驚くべきなのは、ここで表示されたメールアドレスがGmailだったことだ。つまり、そのフリーメールのクラックにさえ成功すれば、1500万近いフォロワー数を誇る米国大統領の公式アカウントは、乗っ取り放題だった可能性が高い(※2)。

個人ユーザーがTwitterアカウントの登録にフリーメールを用いるのは、決して珍しいことではないだろう。しかし不正アクセスのリスクを考えるなら、ビジネス用のアカウントや著名人の公式アカウントで、フリーメールを用いるのは推奨されることではない。ましてホワイトハウスが、大統領の公式アカウントの登録にGmailの利用を許可していた(もしくは、どんなアドレスで登録するのかをチェックしていなかった)というのは信じられない話である。
 
※2 ここで「乗っ取り放題だった」と断言していないのは、このアカウントがログインのたびに2要素認証を利用していたという可能性もゼロではないからだ。しかしホワイトハウスでGalaxy S3を使う人物が、その面倒な工程に耐えられるかは甚だ疑問である。

恥の上塗り

WauchulaGhostからメンションを送られた直後、このセキュリティ問題に気づいたホワイトハウスの担当者は、すぐに自力で対処しようとしたようだ。しかし、それはWauchulaGhostやフォロワーたちをますます楽しませる行動となった。

何が起きたのか? まずパスワードリセットの設定は変更されなかった。そして「アカウントに紐付けられた個人情報」から、携帯電話の番号と2つめのメールアドレスが消えた。つまり、最も危険なGmailのアドレスが、ぽつんと一つだけ残されたのだ。この対応を見たWauchulaGhostは、すかさず反応した。


「なあ大統領。もういい、私は本当に大笑いしてる。無視されなかったのは嬉しいけどね。でも本当に、私に連絡したほうがいいんじゃないのかな」
 
その4に続く)

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

自動車ナンバープレートの「良番」が大量に手に入る理由

April 17, 2018 08:00

by 牧野武文

四川省涼山州公安の交通警察は、自動車ナンバー取得システムに侵入し、「88888」などの縁起のいいナンバーを公開直後に不正取得し、転売をしていた犯罪集団56人を逮捕したと『新京報網』が報じた。 自動車ナンバープレート約13億円 中国人は、数字に異常とも言えるこだわりを見せる。例えば、携帯電話の番号にも…

中国ホワイトハッカーのお給料はおいくら万円?

April 10, 2018 08:00

by 牧野武文

中国のセキュリティエンジニアは、どのくらいの給料をもらっているのか。中国情報安全評価センターは、「中国情報安全従業員現状調査報告(2017年版)」(PDF)を公開した。これによるとITの急速な発展により、中国の産業地図に変化が起きていることが明らかになった。 中国でも男性が多い職業 中国で急成長をす…

Must Popular