インドのセキュリティ研究家のLaxman Muthiyahは、今回の脆弱性をインスタグラムの運営元であるフェイスブックに報告し、3万ドルの報奨金を得た。Muthiyahはこれまで、他のソフトウェア企業にも脆弱性を報告し、報奨金を得てきた専門家だ。
Muthiyahはインスタグラムのモバイルアプリのパスワードの再設定システムの脆弱性を発見した。ユーザーがパスワードを再設定しようとした場合、インスタグラムはSMSで6桁の認証コードを送信し、本人確認を行っている。
巨大なコンピュータパワーを持つハッカーであれば、6桁のコードを大量に生成することは可能であり、インスタグラム側は悪意を持つハッカーからの総当たり攻撃を防御するシステムを構築していた。Muthiyahによると、1000回の総当たり攻撃のうち75%はブロックされていたという。
しかし、コンピュータが1度に大量の処理を行う場合、レースコンディションと呼ばれる混乱が発生する。Muthiyahは膨大なIPアドレスから大量の信号をインスタグラムに送り込んだ結果、防御システムを突破することに成功したという。
Muthiyahによると、彼は1000の異なるIPアドレスから1度に20万件の認証コードを送りつけた。クラウドベースのツールを用いれば、ごく簡単な手順でこのような攻撃は可能だという。1件のパスワードをリセットするためにかかるコストは、約150ドル程度だとMuthiyahは試算した。
この手法を用いて膨大なフォロワー数を持つインフルエンサーのアカウントが乗っ取られた場合、多大な被害が及ぶ。マルウェアを仕込んだサイトへのリンクがばらまかれたり、フィッシングを行うサイトに誘導される危険がある。
これまで、アカウントの乗っ取りによって生じた被害の件数は明らかにされていないが、今回のMuthiyahの発見によって、インスタグラムのセキュリティはより強固になった。インスタグラム側は、彼の報告を受け、脆弱性を即座に除去したという。
Muthiyahが報奨金を得るのは今回が4回目で、彼は今後もセキュリティの研究を続けていくと述べている。
