偽装SMSでツイッターを乗っ取る手口、セキュリティ研究家が公開

Photo by Aytug Can Sencar/Anadolu Agency/Getty Images

セキュリティ研究家たちがツイッターアカウントを乗っ取る新たな手口を発見した。その方法は、比較的古びた手法であるSMSメッセージを活用したものだ。

セキュリティ企業Insinia Securityのリサーチャーらは、利用者の同意を得た上で、アカウントにログインせずに、ツイートを発信することに成功した。この手法では、ログインや2段階認証を回避しつつ、アカウントをハイジャックすることが可能だ。

この攻撃のターゲットとされるのは、全てのツイッターアカウントではなく、SMSと紐付けられたアカウントのみであり、潜在的な脅威にさらされる利用者数を正確に知ることは難しい。

攻撃を行うにあたり、Insiniaのリサーチャーらはまずツイッターアカウントに紐づく電話番号を探し当てた。ネット上では様々なデータ漏えいが発生しており、電話番号の入手はさほど難しいことではない。

その後、リサーチャーらは入手した電話番号から偽装ツールを用いて、SMSメッセージを攻撃対象のスマホに送信した。彼らはギズモードの記者にこの手法のデモを披露し、複数回にわたりツイッターアカウントの乗っ取りに成功した。

その後、ツイッターは声明を発表し、イギリスの電話番号と紐付けられた一部のツイッターアカウントに、SMS攻撃に対する脆弱性があったが、このバグは修正済みだと述べた。また、その後、アカウントのセキュリティは高められたという。

これまでのところ、この脆弱性による実際の被害は発生していないという。ただし、バグの修正を回避し、新たな攻撃を実行できるセキュリティホールがまだ存在するとの指摘もあがっている。

筆者はこの件に関して、ツイッターにコメントを求めている。回答が得られ次第、この記事をアップデートしたい。

編集=上田裕資

ForbesBrandVoice

人気記事