米Facebookの最高経営責任者(CEO)であるMark Zuckerberg氏のアカウントが乗っ取られたもようだと、複数の米メディア(New York Times、VentureBeat、The Vergeなど)が現地時間2016年6月6日に報じた。「OurMine」と名乗るハッカー集団が犯行声明を出している。
OurMineは自身のTwitterアカウント「@_OurMine_」から、Zuckerberg氏のTwitter、Instagram、Pinterestアカウントに不正アクセスしたとツイートし、乗っ取ったZuckerberg氏のTwitterアカウント「@finkd」からも複数の不正ツイートを投稿した。
米Engadgetは、犯行グループがZuckerberg氏のTwitterアカウントから投稿したハッキングを示すツイートを掲載している。OurMineは、Zuckerberg氏のパスワードを「LinkedIn」から流出したデータベースから取得したという。
米LinkedInは先月、2012年の不正アクセスで漏えいした1億人分を超える電子メールアドレスとパスワードの組み合わせが公開されていることを確認し、パスワードを無効にするなどの措置をとったことを明らかにした(LinkedInの公式ブログ)。同じデータ漏えいによる650万件のパスワードを含んだファイルが、2012年6月にロシアのハッカーフォーラムで確認されている(関連記事:Linkedinのパスワードが流出、650万件がハッカーフォーラムで公開との報道)。
現在、OurMineの@_OurMine_アカウントはすでに凍結されている。Zuckerberg氏の@finkdアカウントは一時停止され、不快なツイートを取り除いてすでに復旧している。なお、Zuckerberg氏は2012年1月を最後に同アカウントを使用していない。
またLinkedInは、「Zuckerberg氏の偽プロフィールを見つけ、削除した」と述べた。しかし2012年のデータ漏えいとの関連性については言及しなかった。
OurMineは、Facebook傘下であるInstagramのZuckerberg氏のアカウントにも不正アクセスしたと主張しているが、Facebookの広報担当者は「Zuckerberg氏のFacebookおよびInstagramアカウントは不正侵入を受けていない」と否定した。
またOurMineは、Zuckerberg氏のパスワードは「dadada」だったとし、複数のアカウントで使いまわしされていたとツイートした。
一般的に、大文字、小文字、数字を混ぜた12文字以上で簡単に予測できる言葉を含まないものが安全なパスワードとされ、同一パスワードを複数のサービスで使用しないことが重要だと言われている。もし犯行グループの主張が事実なら、Zuckerberg氏はこれら基本ルールを破っていたことになると、米Mashableは報じている。
なお、先週末はZuckerberg氏のほか、著名な米国人ミュージシャンKeith Richards氏、米国の人気バンドTenancious D、米国人俳優の故Ryan Dunn氏らのTwitterアカウントもハッキング被害を受けたという。