セキュリティ企業Insinia Securityのリサーチャーらは、利用者の同意を得た上で、アカウントにログインせずに、ツイートを発信することに成功した。この手法では、ログインや2段階認証を回避しつつ、アカウントをハイジャックすることが可能だ。
この攻撃のターゲットとされるのは、全てのツイッターアカウントではなく、SMSと紐付けられたアカウントのみであり、潜在的な脅威にさらされる利用者数を正確に知ることは難しい。
攻撃を行うにあたり、Insiniaのリサーチャーらはまずツイッターアカウントに紐づく電話番号を探し当てた。ネット上では様々なデータ漏えいが発生しており、電話番号の入手はさほど難しいことではない。
その後、リサーチャーらは入手した電話番号から偽装ツールを用いて、SMSメッセージを攻撃対象のスマホに送信した。彼らはギズモードの記者にこの手法のデモを披露し、複数回にわたりツイッターアカウントの乗っ取りに成功した。
その後、ツイッターは声明を発表し、イギリスの電話番号と紐付けられた一部のツイッターアカウントに、SMS攻撃に対する脆弱性があったが、このバグは修正済みだと述べた。また、その後、アカウントのセキュリティは高められたという。
これまでのところ、この脆弱性による実際の被害は発生していないという。ただし、バグの修正を回避し、新たな攻撃を実行できるセキュリティホールがまだ存在するとの指摘もあがっている。
筆者はこの件に関して、ツイッターにコメントを求めている。回答が得られ次第、この記事をアップデートしたい。
