TwitterのGoogleアプリに侵入し、300件以上の企業文書を盗み出したフランス人ハッカーが、その手口を詳細に明らかにしました。TechCrunchによると、ハッカー・クロールと名乗るこの男は、「クラッキング」と呼ばれる手法を用いて、Web上で公開されている情報を漁り、Twitterのセキュリティを突破することに成功したとのことです。最終的にクロールは、多くの人が陥りがちな弱点、つまりあらゆるものに同じパスワードを使い回している点を発見し、Twitterのセキュリティが侵害されました。この記事では、ハッカー・クロールがどのように侵入に成功したのか、そして彼の手口によってあなたのデジタルライフが侵害される可能性について考察します。
クロールがTwitterをクラック
ハッカー・クロールは、標的の企業(この場合はTwitter)のプロファイル作成から始めました。基本的には、従業員リスト、社内での役職、そして関連するメールアドレスをまとめました。基本情報が蓄積された後、クロールは各従業員の生年月日やペットの名前などを記載した簡単なプロファイルを作成しました。これらのプロファイルを作成した後、クロールはひたすらドアをノックし、一人が倒れるまで続けました。まさにこれが、Twitter従業員の個人用Gmailアカウントのパスワード復旧プロセスを行った際に起こったことです。クロールは、この人物のGmailに紐付けられたセカンダリアカウントがHotmailアカウントであることを発見しました。問題は、Hotmailアカウントが長期間使用されていないために削除され、再利用されていたことです。これはHotmailの長年のポリシーです。ハッカー・クロールがすべきことは、自分のHotmailアカウントを再登録し、Gmailのパスワード復旧を実行するだけで済みました。すると、Gmailはパスワードリセット情報をハッカーに直接送信しました。しかし、これで終わりではありません。 GmailはハッカーのクロールにTwitter社員の個人用メールアカウントのパスワードリセットを依頼し、ハッカーはそれを実行しました。しかし、元のユーザーはアカウントからロックアウトされ、明らかに警戒すべき状況でした。そこでクロールは、Gmailアカウント自体を検索し、そのユーザーが使用している他のサービスのパスワードを探しました。そして、見つけたよく使われているパスワードを入力し、そのユーザーがアカウントを通常通り使用するかどうかを待ちました。こうしてクロールは裏からGmailアカウントにアクセスし、誰にも気づかれずに情報にアクセスできるようになりました。さらに事態を悪化させたのは、Twitter社員が仕事用アカウントと個人用アカウントで同じパスワードを使用していたため、ハッカーは両方のアカウントにアクセスできてしまったことです。そして、その後の展開は言うまでもありません。
あなたも同じ亀裂に悩まされていませんか?
クロルのやり方で恐ろしいのは、誰にでも起こり得るということだ。先週、自分のGoogleアカウントを確認したところ、
Twitterの従業員と同じセキュリティ上の欠陥がありました。私はかなり前にGmailアカウントを登録していたので、予備のメールアドレスのことをすっかり忘れていました。Twitterの従業員と同じように、私のGoogleアカウントに紐付けられた予備のメールアドレスは使用不可で、誰でも再登録できる可能性がありました。その後、これは変更されました。また、自分のメールアカウントで自分が使用したパスワードを検索してみたところ、返される結果の多さに驚きました。よく使うパスワードを使って自分のメールアカウントを検索し、何が出てくるか見てみましょう。きっと驚くでしょう。しかし、ハッカーがあなたの情報を入手する方法は他にも無数にあります。Twitterのような公共サービスで誕生日のお祝いメッセージを受け取ったことがありますか?電話番号などの情報をそのようにして誰かに送ったことがありますか?あなたのソーシャルネットワーキングサイトにはどんな情報が保存されていますか?MySpaceやFacebookのアカウントは閉鎖されていますか?それとも、あなたを検索した人が誰でも見ることができる状態ですか?Facebookページには生年月日、出身校、ペットの名前などが載っていますか?よくあるセキュリティ質問である母親の旧姓が、あなたのソーシャルネットワークアカウントから漏れてしまう可能性はあるでしょうか?あなたが利用している他の無数のサービスはどうでしょうか?もし誰かがこの情報を見つける可能性が低いと思うなら、PiplやSpokeoといったいわゆる「ディープウェブ」検索エンジンで自分自身を検索してみて、何が出てくるか見てみましょう。完全に忘れていたオンラインアカウントが見つかるかもしれません。
ウェブメールセキュリティ類似
もう一つの問題は、大手メールサービスのほとんどが、Googleと似たような復旧方法を採用していることです。HotmailはGmailとほぼ同じです。Yahooはさらに簡単で、予備のメールアカウントにアクセスできないとYahooに伝えれば、秘密の質問に答えることができます。こうしたセキュリティ対策のせいで、昨年、学生がアラスカ州知事サラ・ペイリン氏のYahooメールアカウントにハッキングを仕掛けることができました。Yahooメールの復旧ページでのテストでは、Yahooメールの秘密の質問を推測する機会が、ほぼ無制限に与えられたように思えました。AOLメールもそれほど悪くはなく、予備のメールアドレスを入力するか(メールアドレスを知っているか推測するか)、AOLに登録されている生年月日と郵便番号を入力するかの選択肢があります。郵便番号による障壁があることで侵入は難しくなりますが、完全に不可能というわけではありません。Twitterと同じ欠陥に陥っていることに気づいたのなら、これは警鐘だと考えてください。何年も前に入力した情報は忘れやすいので、セキュリティ情報を管理し続けるために、さまざまなオンライン アカウントのセキュリティ設定を定期的に確認する必要があります。メインの電子メール アドレスに紐づけられているサブの電子メール アカウントには特に注意し、セキュリティの質問には自分だけが覚えている偽の答えを設定することを検討し、パスワードは自分で作成するか、GRC や Strong Password Generator などのランダム パスワード ジェネレーターを使用して定期的に変更してください。また、1 つまたは 2 つのパスワードだけを使用するのではなく、Clipperz、KeePass、Yubico などのパスワード マネージャーを使用して詳細を記憶させることもできます。しかし、おそらく最も重要なのは、自分の Web メール アカウントで最もよく使用するパスワードを検索し、それらのメッセージを削除することです。最悪の事態が起こり、アカウントが侵害された場合、これを実行していてよかったと思うでしょう。
