希少価値の高いTwitterアカウントを持つユーザーが体験した恐ろしい出来事

By Kristina Alexanderson

「@N」というアルファベット1文字の希少なTwitterアカウントを持っていたエンジニアのNaoki Hiroshimaさん。彼は「@N」を持っていた頃に、5万ドル(約510万円)でアカウントを買い取りたいというオファーを受けたこともあるそうですが、このアカウントは第三者の攻撃を受けて手放さざるを得なくなってしまったそうです。

Hiroshimaさんのアカウントを乗っ取った攻撃者は、アカウントを乗っ取るためにまずPayPalに電話をかけ、Hiroshimaさんのクレジットカード番号末尾4桁を入手。続いてドメイン管理会社のGoDaddyに電話をして「カードを失くしたけど下4桁なら覚えてる」と言い、GoDaddyのアカウントを乗っ取ることに成功します。Hiroshimaさんは独自ドメインでメールやウェブサイトを運用していたので、攻撃者はこれらをコントロールできるようになり、Hiroshimaさんはそれらのコントロール権を取り戻すために@Nを譲ったとのことです。

By Les Orchard

そんなHiroshimaさんと同じように「アカウントを強奪されそうになった！」というJosh Bryantさんが、自身のブログに自分がアカウントを奪われそうになった際の経緯を記しています。また、ブログの著者いわくHiroshimaさんのケースよりもいくつかの点で「はるかにひどい」ことが起きたそうです。

How I Almost Lost My $500,000 Twitter Username - Hackticool
http://hackticool.com/post/75171875746

JoshさんがTwitterとInstagramで使っているアカウント名は「@jb」というもの。このアカウント名は自分の頭文字からつけたシンプルなものですが、有名なアーティストであるジャスティン・ビーバー(Justin Bieber)の頭文字とも一致するもので、そのマーケティング効果を考えると企業やハッカーが汚い手を使ってでも手に入れようとするのはわかる、とJoshさんは記しています。

By Shawn Campbell

「@N」を奪われたHiroshimaさんと同じように、Joshさんのもとにも「@jbを高額で買い取りたい」というオファーが頻繁に届いていて、何とかしてアカウントを乗っ取ろうとする人間も多く、メールボックスには毎日Twitterアカウントのパスワードリセット案内メールが届いているそうです。

2013年5月、JoshさんはAmazonからのパスワードリセット案内メールを受信しました。それまでに受け取ったパスワードリセットの案内はほとんどがTwitterとInstagramからのもので、Amazonからのものは初めてでしたが、Joshさんは他のメールと同様、気に留めずに無視することにしました。

By jim212jim

しかし、メールが届いてから約30分後、Amazonから「パスワードは無事変更されました！」という旨のメールが届き、さらに30分後にはAppleから3通のパスワードリセットメールが到着。ここに至って、Joshさんは自分が何かの攻撃の対象になっていることに気付いたそうです。

この時、幸運にもJoshさんはまだ自身のメールアカウントにアクセス可能だったので、すぐにAmazonアカウントのパスワードリセット要求を行いました。パスワードを変更した後、JoshさんはAmazonに電話をかけ、その電話で第三者が電話を使ってJoshさんのアカウント情報を入手したことを知りました。彼は即座に自分のアカウントをロックして欲しいと頼み、「今後、電話で『アカウント情報変更を変更したい』という要求があったら、その電話の内容をメモしておいて欲しい」と伝えました。

By Jo Christian Oterhals

続いてJoshさんがiCloudのサポートセンターに電話をすると、Amazonの時と同じように、アカウントに関する問い合わせが1時間以内に4度もあったことが判明。彼のAmazonアカウントを乗っ取ろうとした攻撃者は、Amazonの際と同様にAppleのサポートに直接電話をしてJoshさんの情報を入手しようと試みたようでした。ここでも今後アカウント情報を尋ねてくる者がいた場合にはその内容をメモしてほしいと伝え、電話での要求はいかなるものも許可しないようにして欲しいと伝えます。

これらの電話を行っている間にJoshさんはiCloudサポートからどうやってパスワードを変更するかの指示が記されたメールを受信します。これは明らかに電話で話をしたAppleのサポートセンターの人が手動で送ってきたものであったそうです。このメールは宛先(TO)に見知らぬGmailアドレス、CCにJoshさんのiCloudアドレスが入っており、このGmailアドレスがJoshさんのAmazonアカウントやiCloudアカウントに不正アクセスしようと試みていた相手のアドレスであると気づいた、とのこと。

攻撃者のGmailアドレスをゲットしたJoshさんは、どうせ返事はないだろうと考えながらもこのアドレス宛にメールを送信、その数分後、攻撃者から隠し立てすることなく自分が何をしたのかを説明する返事を受信しました。

By Daniel R. Blume

攻撃者によると、まず最初にネット上やさまざまな場所で公開されている情報からJoshさんに関するものをリサーチし、JoshさんのTwitterプロフィールで彼が運営するウェブサイトへのリンクを発見し、サイトのWHOISの情報を入手しました。JoshさんはWHOIS情報に両親が住んでいる住所を登録しており、Amazonを使って両親にプレゼントを贈ったことがあったため、攻撃者はJoshさんのAmazonアカウントを見つけ出すことに成功。

これを利用して攻撃者はAmazonに電話し、「パスワードを忘れたんだけど、今は登録したメールアドレスにアクセスできないんだ」と訴えてカスタマーセンターにパスワードをリセットさせ、さらにアカウントにアクセスするために必要な情報を電話越しに教えてもらったとのこと。攻撃者はその後、Joshさんのクレジットカード番号の下4桁と現在の住所や1つ前の住所などの情報を得て、同じ方法でJoshさんのiCloudアカウントからも情報を入手する予定だったそうです。

By Kristina Alexanderson

幸運なことに、攻撃者がこれらを実行している間もJoshさんはオンライン状態だったのでAmazonやAppleのアカウントにアクセスされる前にそれらをロックすることができました。Amazonのようなショッピングサイトのカスタマーセンターは情報を比較的簡単に公開してくれることを攻撃者は知っていたので、Amazonアカウントから攻撃を始めたとみられています。ちなみに、Amazonは多くのスタートアップ企業のデータをホストしていたりしますが、Joshさんもそんなスタートアップ企業の共同設立者の1人で、Amazon EC2に彼らの作成したサービス「Droplr」に関するデータをすべて保存していました。今回、攻撃者の目的はJoshさんの「@jb」というTwitterアカウントだったからよかったものの、Droplrのデータ全てにアクセスされたことに気づいた際にはぞっとしたとのこと。

Joshさんはこの経験から、AWSなどを利用する時にはショッピング用のAmazonアカウントとは完全に切り分けた別のアカウントを用意する必要があることを痛感したそうです。また、自分で管理できる個人的なWHOISサービスの利用も重要だと記しています。Hiroshimaさんの一件からも分かるように、独自ドメインを使用したメールアドレスをあらゆるネットサービスのログイン用メールアドレスとして使用すると、芋づる式に情報を引き出される恐れがあるためです。

しかし、毎日多くのパスワードリセットリクエストを処理しなければならないGmailやiCloudなどのメールサービスに共通する問題として、「電話上で身元を確認できる場合は、アカウントにアクセスできるように情報を開示する必要がある」というものがあり、もしも電話上で身分を偽れる者が現れた場合、恐らくメールアカウントにアクセスするための情報が漏れてしまうだろうとも記しています。

そしてJoshさんは、世界的な大企業であっても、そのセキュリティレベルは、ユーザーのアカウントをリセットできる力を持った最低賃金で働く電話サポートセンターの人員と同等のものであるということを悟った、とのこと。

どれだけ自分自身が警戒していても、利用しているサービスのカスタマーサポートから情報が漏れてしまうことは避けられません。万人がこのレベルの警戒をする必要はないものの、乗っ取られて困るような大事なアカウントを利用している人は、ウィークポイントがどこなのかを把握した上で、心当たりのないパスワードリセットの案内には気を配っておいた方がよさそうです。