今週のSecurity Check(第228回)

 ある日のこと、社内の知人から以下のようなダイレクトメッセージが来た。

 仕事柄、日本人からも英語のメッセージが来ることが多い。また、メールをもらった同僚は、極めて親密というほどではないものの、ダイレクトメールをもらってもおかしくない程度には親しい相手だったことから、何の気なしにiPhone上で短縮URLをクリックした。すると、下の画面が現れた。

 Twitterがユーザー名とパスワードを入れろと言っている。認証の仕組みがまた変わったかなと思いつつ、ユーザー名とパスワードを入力。ところが何も起こらない。そこでやっと、自分がフィッシングサイトに誘導されたことに気づいたが、後の祭り、うまうまとパスワードを盗まれてしまった。もちろんすぐにパスワードを変更し、メッセージをもらった同僚に連絡した。幸いなことにその後何か事件に巻き込まれた形跡はない。

 クレジットカードや銀行口座情報を盗むために、銀行やショッピングサイトを偽造するタイプのフィッシング攻撃は以前からよく知られているが、最近は、TwitterやFacebookなどのSNSのログイン情報を盗み、アカウントを乗っ取る事件が相次いでいる。あるユーザーのアカウントが乗っ取られると、そのフォロワーや友人に対してスパムメッセージを送ることで被害が拡散していく。筆者もそのような攻撃があることは知っていたが、つい引っかかってしまった。

 Twitterでよく使われる短縮URLの危険性は知っていたが、iPhoneの場合、短縮URLが指す本当のURLが表示されず、Twitterからのメッセージを偽造した画面に飛ばされる(写真)。処理の途中やアプリ連携の際に、システムからユーザー名とパスワードを聞かれることは時々ある。かえって、「これはセキュリティ強度を高めるためにやっていることだ」と思い、筆者はつい入力してしまった。ちなみに上記のサイトでは、ドメイン名としてtwitter.comに似せたtwpitter.comが使われており、用心深く短縮URLが指す本当のURLをチェックした利用者をもフィッシングサイトに引き込むための工夫が施されている。

 クレジットカード情報ならいざ知らず、Twitterのアカウント情報を盗まれても大した実害はないのではと、たかをくくっていた。しかし、例えばTwitterのパスワードがAmazonのそれと同じである場合には、Amazonのアカウントを乗っ取ることで登録されたクレジットカード情報を手に入れることができる。あるいは、公開されていない情報を入手することで、別のサービスのアカウントを乗っ取るための手がかりとなるかもしれない。

 このようなアカウント乗っ取りのための攻撃は、利用者を狙うだけではなく、SNSサービスそのものに対しても行われている。

・2013年2月2日、Twitterはユーザーデータに対する不正なアクセスを受け、ユーザー名やメールアドレス、セッションID、暗号化されたパスワードなど、約25万人のユーザー情報にアクセスされた可能性があると発表した(Twitterのブログ)。Twitterは乗っ取りの可能性がある利用者のパスワードをリセットした。

・2013年3月3日、Evernoteは同社の保護されたデータ領域に対する組織的な不正アクセスがあったことを発表し、全利利用者のパスワートをリセットした(Evernoteのブログ)。

 パスワードがリセットされると、各利用者に対してその旨のメールが送信されるが、パスワードリセットを騙ったメールを送りつけ、アカウント情報を乗っ取るタイプの攻撃もあり得る。利用者にとっては、いったい何を信じればよいのか、という深刻な事態となる。この問題に対し、様々な対策が行われている。そのいくつかを見ていこう。