Twitter のアカウント名には、何らかの理由で高い価値を持つものがある。アルファベット1文字のアカウントもそのようなものの1つ。アルファベットは26文字しかないため希少価値があり、高い金額で取引されることがあるのだ。

そんなアカウントの1つ「@N」が、アタッカーによって奪われるという事件が起きた。

@N アカウントを所有していたのは、Naoki Hiroshima 氏。同氏は、Blog サイト「Medium」に掲載した詳細な投稿「How I Lost My $50,000 Twitter Username(私はどのように5万ドルの Twitter ユーザ名を失ったか)」で、アタッカーがどのように @N を奪ったかを説明している。Hiroshima 氏によれば、その攻撃手法は、複数の段階からなる、高度なものだった。

5万ドルの価値がある Twitter アカウント「@N」は、どのようにして奪われたのか?

攻撃者はまず、Hiroshima 氏が運営する Web サイトの個人用ドメインを奪った。そしてこれと引き換えに、@N の権利を引き渡すように Hiroshima 氏を“強請った”のだ。Hiroshima 氏はドメインを取り戻すため、アタッカーに @N を譲った。

この話の興味深いところは、この後にある。Hiroshima 氏はアタッカーに対し、どうやって彼のドメインを奪ったのか説明を求めたのだ。アタッカーは、Hiroshima 氏のドメインのレジトラである GoDaddy を騙したのだと明かした。

アタッカーは GoDaddy に電話をかけ、Hiroshima 氏のクレジットカード情報を伝えて Hiroshima 氏になりすましたという。その後、ドメインのあらゆる情報を変更し、自分のものとしてしまった。Hiroshima 氏が自分こそがドメインの所有者であると証明するために GoDaddy に電話をかけたときには、本人認証で使用されるクレジットカード情報もアタッカーによって変更されていたため、Hiroshima 氏は何もできなかった。

だが、アタッカーはどうやって Hiroshima 氏のクレジットカード番号を入手したのだろう?

アタッカーは、Hiroshima 氏になりすまして PayPal に電話をかけ、Hiroshima 氏のクレジットカード番号の末尾4桁を入手したという。この情報の入手後、アタッカーは GoDaddy に電話をかけた。だが GoDaddy の認証システムでは、本人認証にはクレジットカード番号の下6桁を口頭で伝えることが要求される。アタッカーは、残りの2桁は思い出せないと GoDaddy の担当者に伝えたそうだ。すると GoDaddy の担当者は、アタッカーの推測が正解に辿りつくまで、00 から試すことを許した。

この件は、2012年に Wired のライター Mat Honan 氏の iCloud アカウントが攻撃を受けたときのことを想起させる。このときもアタッカーは、電話によって Apple アカウントへのアクセスを得た。

どちらの例でも、人間による認証行為がウィークリンクになっていることがわかる。人間が騙され、アタッカーに情報を与えてしまっているのだ。アタッカーに対して、クレジットカード番号の推測を許したという事実は、弁解できないものだ。

私は以前から2段階認証の重要性を強く訴えてきた。だが、今回のケースは、2段階認証は万能ではないことを示すものとなった。結果的に、Hiroshima 氏の「@N」は奪われてしまったのだ。

今回の一件は、我々がオンラインセキュリティのウィークリンクがどこにあるのかを認識する手助けとなってくれる。@N の強奪は、我々全員に対する教訓になるだろう。できればベンダーが、人が原因となるセキュリティ問題の改善に着手するきっかけになってくれればと願う。

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。