フィンランドのウイルス対策ベンダーF-Secureの研究者らによると、攻撃者がログイン認証情報にアクセスした場合、TwitterのSMSベースの2要素認証機能が悪用され、この機能を有効にしていないユーザーのアカウントがロックされる可能性があるという。
Twitterは先週、攻撃者がユーザー名とパスワードを盗んだとしても、アカウントの乗っ取りを困難にするため、オプションのセキュリティ機能として二要素認証を導入しました。この機能を有効にすると、SMSで送信される秘密のコードという形で二つ目の認証要素が追加されます。
F-Secureのセキュリティアドバイザー、ショーン・サリバン氏によると、攻撃者はこの機能を悪用し、二要素認証が有効になっていないアカウントへの不正アクセスを長期間継続させる可能性があるという。サリバン氏は金曜日にブログ記事でこの問題について初めて説明した。
サリバン氏は月曜日、フィッシングなどの方法でログイン認証情報を盗んだ攻撃者が、プリペイド電話番号をその人物のアカウントに紐付け、二要素認証を有効にする可能性があると述べた。そうなると、真の所有者はパスワードをリセットするだけではアカウントを回復できず、Twitterのサポートに連絡しなければならないだろうとサリバン氏は述べた。
これが可能なのは、Twitter の Web サイト経由でアカウントにアクセスできるユーザーが 2 要素認証を有効にする権限も持っていることを確認するための追加の方法を Twitter が使用していないためです。
アカウント設定ページで「アカウントセキュリティ」と呼ばれる二要素認証オプションを初めて有効にすると、サイトはユーザーに、携帯電話に送信されたテストメッセージを正常に受信したかどうかを尋ねます。サリバン氏によると、ユーザーはメッセージを受信していなくても「はい」をクリックするだけで済みます。
代わりに、Twitter はアカウントに関連付けられた電子メール アドレスに確認リンクを送信し、アカウント所有者がクリックして 2 要素認証を有効にする必要があることを確認する必要がある、とサリバン氏は述べた。
現状では、研究者は、この機能が、侵入したアカウントへの不正アクセスを長期化させるために、最近複数の報道機関のTwitterアカウントを乗っ取ったハッカー集団「シリア電子軍」のような執念深い攻撃者によって悪用される可能性があると懸念している。
一部のセキュリティ研究者は、Twitter の現在の 2 要素認証機能は、異なる従業員が同じ Twitter アカウントにアクセスし、認証用に単一の電話番号を共有できない地理的に分散したソーシャル メディア チームを持つニュース組織や企業にとって実用的ではないとの見解をすでに表明している。
サリバン氏が説明した問題に関してツイッター社は月曜日に送ったコメント要請にすぐには応じなかった。
Twitterはおそらくこの機能のリリースを急ぎすぎたため、あらゆる側面を十分に考慮しなかったのだろうとサリバン氏は述べた。しかし、これはまだ第一歩に過ぎず、最終的には確実な実装が実現するだろうとサリバン氏は述べた。
