ドナルド・トランプ米大統領の政権が関与した最近のいくつかの事件は、ユーザーにITセキュリティ、特にTwitterとその利用上の注意点について何かを教えてくれるだろう。
大統領の公式アカウント@POTUSを含むホワイトハウス関連の複数のTwitterアカウントが、最近までハッカーが悪用できる可能性のある機密情報を公開していたことが判明した。
問題はサービスのパスワードリセット機能に起因しています。アカウント所有者がセキュリティ保護のための特定の手順を踏まない場合、Twitterは適切なスキルを持つ人なら誰でも、Twitterアカウントのセキュリティ保護に使用されたメールアドレス(編集済み)を特定できる情報を公開してしまいます。
WauchulaGhostという名のハッカーがこの問題に気づき、ツイートし始めた。彼は、@POTUSアカウントがGmailアドレスで保護されていることを発見した。そのアドレスは一部編集されていたものの、ソーシャルメディア担当のトランプ大統領補佐官のものと推測できた。
ツイッターハッカーは、副大統領、ファーストレディ、トランプ大統領報道官のツイッターアカウントでも同じ問題を発見した。これらはすべてGmailアドレスで保護されていた。
「そこからメールを解読するのは難しくない」とWauchulaGhostはツイートした。「メールが漏洩すれば、不正アクセスされる可能性がある」
セキュリティ設定を変更する
メールアドレスを公開することは無害に思えるかもしれません。しかし、政府関係者や企業の幹部にとっては、トラブルを招く可能性があります。
昨年の選挙でまさにそれが起こりました。大統領候補ヒラリー・クリントン氏の補佐官が、ロシアのサイバースパイとみられる人物にGmailアドレス宛てのフィッシング攻撃でハッキングされ、最終的にメールが盗まれ、一般に流出しました。
著名なTwitterアカウントがハッキング被害に遭えば、その被害はさらに甚大になる可能性があります。しかし、セキュリティ意識向上トレーニングを専門とするInspired eLearningのCEO、フェリックス・オディギー氏は、誰もがこうした攻撃の標的になる可能性があると述べています。
「人々は、こうした脅威の担い手が実在するとは思っていないし、自分たちに襲われるとは思っていないのです」と彼は述べた。「しかし、いつかは襲われるのは時間の問題でしょう。」
Twitter上でメールアドレスが公開されるのを防ぐには、アカウントのセキュリティ設定で「パスワードのリセットに個人情報を要求する」をクリックしてください。これにより、パスワードをリセットしようとするユーザーは、正しいメールアドレスまたは電話番号を入力しなければ続行できなくなります。
二要素認証と安全なIT監視を使用する
大統領の Twitter アカウントを Gmail アドレスで保護すると、別の問題が浮き彫りになる。ホワイトハウス関係者はなぜサードパーティのメール プロバイダーを使用しているのだろうか?
昨年の選挙では、クリントン氏が私用メールサーバーを使用していたことがきっかけで、政府のITセキュリティが大きな問題となった。批判者たちは、クリントン氏のデジタル通信がハッキングの危険にさらされるのではないかと懸念していた。
トランプ政権は、大統領のTwitterアカウントをGmailアドレスで保護したことで、批判を浴びている。「形式に合わないように思えます」と、セキュリティプロバイダーRendition InfoSecの創業者ジェイク・ウィリアムズ氏は述べた。「本来は.govアドレスを使うべきです」
「そうすれば、アカウントへの侵入が試みられたとしても、Gmail では誰も監視しない可能性もあるのに対し、自社の情報セキュリティ担当者が監視することになる」と同氏は語った。
同じアドバイスはあらゆるビジネスに当てはまります。一般的なサードパーティのメールプロバイダーよりも、より厳格に管理されている企業のITインフラに頼る方が賢明だとウィリアムズ氏は言います。
彼はまた、Twitterアカウントを2段階認証で保護することを推奨しています。2段階認証では、ユーザーはパスワードと、携帯電話に送信されるか認証アプリで生成されるワンタイムの特別なコードの両方を入力する必要があります。
「たとえ攻撃者がパスワードを入手したとしても、アカウントにアクセスすることはできません」とウィリアムズ氏は述べた。
Twitter ユーザーは、セキュリティ設定に移動して「ログインリクエストを検証」をチェックすることでこのオプションにアクセスできます。
OAuthトークンには注意が必要
今週初め、トランプ政権はTwitter関連の新たな事件に巻き込まれた。サウスダコタ州バッドランズ国立公園のアカウントが、気候変動は作り話だというトランプ大統領の主張に反論するような一連の事実をツイートしたのだ。
ホワイトハウスは、「不正ユーザー」が国立公園局サンフランシスコ事務所の古いパスワードを使用してアカウントにアクセスしたと述べた。
ウィリアムズ氏は、トランプ政権が公園のツイッターアカウントのパスワードを変更したが、アクセスを許可するOAuthトークンを取り消さなかったのではないかと疑っている。
サードパーティ製アプリケーションは、OAuthトークンを使用することで、機密性の高いパスワード情報を扱うリスクなしにTwitterアカウントに接続できます。「おそらく誰かが、まだアカウントに接続していることに気づき、試してみることにしたのでしょう」とウィリアムズ氏は述べました。
公園のアカウントからの物議を醸したツイートはすぐに削除されたが、トランプ政権のツイッターでのトラブルは止まっていない。
木曜日、ホワイトハウス報道官のショーン・スパイサー氏がツイートした後、パスワードと思われるものを削除していたことが発覚したが、実際に何が起こったのかはまだ不明である。
ツイッターウィリアムズ氏は、ホワイトハウス関係者に対し、ツイートを投稿する前にユーザーにツイートの内容を確認するよう求めるツイッターのダッシュボード「TweetDeck」のオプションを使うよう勧めている。
「これにより、誤って何かを何度も送信してしまう事態を回避できました」と彼は語った。
