今年2度目となる、ハッカーがTwitter社員のアカウントへの管理者アクセス権を取得した。
水曜日、Hacker Crollという名の匿名ハッカーがフランスのオンラインディスカッションフォーラムに13枚のスクリーンショットを投稿した。これらはTwitterの製品管理ディレクター、ジェイソン・ゴールドマンのTwitterアカウントにログイン中に撮影されたものと思われる。
Twitterの共同創設者であるビズ・ストーン氏は、木曜日の午後のブログ投稿でこの情報漏洩を確認した。「今週、外部からの不正アクセスがTwitterに発生しました」とストーン氏は記している。「当初のセキュリティ調査と調査の結果、アカウント情報が改ざんまたは削除されたことは確認されていません。しかしながら、今回の不正アクセスで10件のアカウントが閲覧されたことが判明しました。」
スクリーンショットによると、ハッカー・クロールはブリトニー・スピアーズやアシュトン・カッチャーといった著名人のTwitterアカウント情報にアクセスできたようです。また、新規Twitterメンバー登録時におすすめされる注目ユーザーの追加や削除なども可能でした。
ストーン氏は、ハッカーはメールアドレス、携帯電話番号、そしてこれらのユーザーがブロックしたアカウントのリストといった情報にアクセスできた可能性があると述べている。「今回の不正アクセスによってアカウントが侵害されたTwitterユーザーには、直接連絡を取っています」とストーン氏は述べた。
推測されたパスワード
ハッカー・クロールは、ゴールドマン氏のYahooアカウントにアクセスし、Twitterのパスワードを入手したと主張した。「管理者の一人がYahooアカウントを持っていたので、秘密の質問に答えてパスワードをリセットしました。そして、メールボックスの中に彼女のTwitterのパスワードを見つけました」と、ハッカー・クロールは水曜日にオンラインディスカッションフォーラムに投稿した。「ソーシャルエンジニアリングのみを使用しました。エクスプロイト、クロスサイトスクリプティング(XSS)の脆弱性、バックドア、NPSQLインジェクションは一切使用していません」
ゴールドマン氏は月曜日、自身のヤフーメールアカウントがハッキングされたとツイッターでメッセージを送った。
Twitterでは今年、セキュリティ問題が相次いで発生した。
1月には、GMZと名乗る別のハッカーが、Twitterのサポートスタッフのパスワードを推測することで管理者アカウントへのアクセスに成功したと発表しました。伝えられるところによると、パスワードは推測しやすい単語「happiness(ハピネス)」だったとのことです。
GMZはその後、そのアクセスを利用して、スピアーズ、バラク・オバマ米大統領、フォックス・ニュースなど、著名人のアカウント33件を掌握した。
繰り返しの攻撃
Twitter は今年、サイト上の Web プログラミングの欠陥を狙った、急速に広がるワーム攻撃を数回受けている。
ツイッターのCEOビズ・ストーン氏は1月の事件後、「ツイッターへのすべてのアクセスポイントのセキュリティを全面的に見直す」と約束したが、ツイッターの最新のハッキング事件のニュースを最初に報じたフランス人ブロガー兼ITプロジェクトマネージャーのマニュエル・ドーン氏によると、同サイトのセキュリティは「非常に脆弱」だという。
ストーン氏は今回も同様の約束をした。「Twitterはセキュリティを非常に重視しており、すべての社内システムに対して徹底した独立したセキュリティ監査を実施し、ユーザーデータの保護を強化するために追加の侵入防止対策を実施します」と、同氏は木曜日に記した。
admin.twitter.com にログインしようとするとログインプロンプトが表示されます。Twitterのユーザー名は既に公開されているため、攻撃者はパスワードを推測するだけで済みます。ゴールドマン氏のアカウントでも同様のことが起きた可能性があるとドーン氏は指摘します。「パスワードが彼の子供か妻の名前で、ハッカーがそれを知っていたのかもしれません。」
研究者によってソーシャルエンジニアリング攻撃と呼ばれるこの種の攻撃は、効果的で広く行われています。昨年、あるハッカーがHacker Crollが説明したのと同じ手法を用いて、副大統領候補のサラ・ペイリン氏のYahoo!メールアカウントにアクセスしました。
「ソーシャルエンジニアリング攻撃を決して軽視せず、注意深く見守る必要がある」と、コンサルティング会社セキュア・サイエンスの共同創業者ランス・ジェームズ氏はインスタントメッセージで述べた。「もし彼らが銀行から金を盗むために仕掛けているのなら、Twitterのようなソーシャルネットワークを乗っ取るのは容易なことだろう。」
