THE ZERO/ONEが文春新書に!『闇ウェブ(ダークウェブ)』発売中
発刊:2016年7月21日(文藝春秋)
麻薬、児童ポルノ、偽造パスポート、偽札、個人情報、サイバー攻撃、殺人請負、武器……「秘匿通信技術」と「ビットコイン」が生みだしたサイバー空間の深海にうごめく「無法地帯」の驚愕の実態! 自分の家族や会社を守るための必読書。
トランプ政権のへっぽこセキュリティ事件簿 (3) Twitterハッキング危機一髪
February 10, 2017 08:00
by 江添 佳代子
今回はTwitterアカウントにまつわる話題である。トランプが人々の注目を集めるうえで、Twitterは大きな役割を果たしてきた。彼がこれまで過激なツイートを大量に配信し、多くの支持と反感を呼んできたことは皆様もご存じだろう。
そのトランプは大統領に就任するまでの間、@realDonaldTrump を自身の公式アカウントとして利用していた。しかし1月19日には「米国大統領トランプ」の新たなアカウント@POTUSが開設されたため(※1)、これら2つのアカウントが「トランプの公式アカウント」として扱われることとなった。
※1 POTUS=President of the United Statesの略。ちなみに第44代大統領のオバマが利用していたアカウントは@POTUS44だった。
大統領、助けてやろうか?
その翌日、つまり大統領就任式が行われた1月20日、WauchulaGhostの名で知られる一人のハッカーが、新設アカウント@POTUSの深刻な脆弱性を発見した。それは大統領にメンションを送る形の短いツイートによって報告されている。
Hey @POTUS, On a serious note. Lets fix your Security settings. Should I email you? #GhostOfNoNation @realDonaldTrump pic.twitter.com/FRdMJnZaNr
— WauchulaGhost (@WauchulaGhost) 2017年1月21日
「やあ大統領、真面目な話だ。セキュリティ設定を直そうよ。メールを送ろうか?」
このツイートに添えられた一枚の画像は、驚くべき2つの事実を物語るものだった。パスワードリセット設定の問題と、アカウントに紐づけられたメールアドレスの問題である。ピンとこなかった方のために詳しく説明しよう。WauchulaGhostは凄腕のハッカーだが、これは高度なハッキングの話ではなく、とても単純な内容だ。
パスワードリセットの設定で情報がわかる
通常、自分のTwitterアカウントのパスワードを忘れてしまったユーザーは、パスワードをリセットするためのページを訪問する。そして自分が登録したメールアドレスか携帯電話の番号、または「ユーザー名」のいずれか一つを入力して送信する。そのアカウントがデフォルトの設定なら、アカウントに紐付けられたメールアドレスや電話番号が一部伏せられた状態で一覧表示される。ユーザーはその中から「自分のパスワードをリセットするための情報をどこへ送信するのか」を選択することになる。
しかし「ユーザー名」は本人でなくとも分かるので、あなたもパスワードリセットのページを訪れて「気になるアカウントのユーザー名」を入力すれば、そのアカウントがどんなメールアドレスで登録されているのかを部分的に見ることができる。WauchulaGhostのツイートに添付されているのは、それを「POTUS」で行ったときに表示される画面のキャプチャ画像だ。
このような手法で他人に個人情報の一部を知られてしまう問題は簡単に回避できる。各自がアカウントのセキュリティ設定から「パスワードリセット」の項目を選び、個人情報の入力を要求するように変更すればよい。チェックボックスをひとつ操作するだけだ。しかし大統領のアカウントでは、その対策が行われていなかった。
しかし、そのパスワードリセット設定の甘さよりも驚くべきなのは、ここで表示されたメールアドレスがGmailだったことだ。つまり、そのフリーメールのクラックにさえ成功すれば、1500万近いフォロワー数を誇る米国大統領の公式アカウントは、乗っ取り放題だった可能性が高い(※2)。
個人ユーザーがTwitterアカウントの登録にフリーメールを用いるのは、決して珍しいことではないだろう。しかし不正アクセスのリスクを考えるなら、ビジネス用のアカウントや著名人の公式アカウントで、フリーメールを用いるのは推奨されることではない。ましてホワイトハウスが、大統領の公式アカウントの登録にGmailの利用を許可していた(もしくは、どんなアドレスで登録するのかをチェックしていなかった)というのは信じられない話である。
※2 ここで「乗っ取り放題だった」と断言していないのは、このアカウントがログインのたびに2要素認証を利用していたという可能性もゼロではないからだ。しかしホワイトハウスでGalaxy S3を使う人物が、その面倒な工程に耐えられるかは甚だ疑問である。
恥の上塗り
WauchulaGhostからメンションを送られた直後、このセキュリティ問題に気づいたホワイトハウスの担当者は、すぐに自力で対処しようとしたようだ。しかし、それはWauchulaGhostやフォロワーたちをますます楽しませる行動となった。
何が起きたのか? まずパスワードリセットの設定は変更されなかった。そして「アカウントに紐付けられた個人情報」から、携帯電話の番号と2つめのメールアドレスが消えた。つまり、最も危険なGmailのアドレスが、ぽつんと一つだけ残されたのだ。この対応を見たWauchulaGhostは、すかさず反応した。
Hey @POTUS, Ok, So I'm seriously laughing right now. But Glad you're paying attention. But, You might want to email me. #GhostOfNoNation pic.twitter.com/wFZAsgs1O0
— WauchulaGhost (@WauchulaGhost) 2017年1月21日
「なあ大統領。もういい、私は本当に大笑いしてる。無視されなかったのは嬉しいけどね。でも本当に、私に連絡したほうがいいんじゃないのかな」
(その4に続く)
江添 佳代子
ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。
Must Popular
-
1
教科書記載のリンク先がアダルトサイトに変身
June 30, 2017
2
電子タバコを利用したハッキング手法が公開される
July 21, 2017
3
中国でデータ通信専用SIMが1日35万枚も売れている理由
September 11, 2017
4
中国湖南省で偽iPhoneが3トン発見される
July 13, 2017
5
「改造版Mirai」を作った男の意外な正体!?(前編)
August 8, 2017
-
6
悪名高きサイバー攻撃集団「APT28」がNSAのツールを使ってホテル宿泊客のデータを盗む
August 23, 2017
7
中国でiPhone盗難が減らない理由
July 3, 2017
8
46万5000台のペースメーカーに存在した脆弱性(前編)死に直結する医療機器のセキュリティホール
September 14, 2017
9
賭博のイカサマアプリで大学生が約6億6300万円を荒稼ぎ
July 20, 2017
10
Androidマルウェア「CopyCat」が猛威を振るう
August 10, 2017
