Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

SNSの外部連携設定を見直そう

不正アクセス事件 調べてみた。

有名人のTwitterFacebook、インスタグラム等のSNSアカウントは攻撃対象になりやすい。しかし2要素認証を入れていても影響を受けてしまう事もある、このニュースはその事実を改めて認識させてくれました。が、その件についてはpiyokango氏が既に記事を書かれていたので、、今日は別な観点でみて見ます。
www.nikkei.com

 

◆キタきつねの所感

記事を書いている最中(9/1 AM)にpiyokango氏が記事を出している事に気づきました。

piyolog.hatenadiary.jp

 

記事を没にするしかないなぁと思っていたのですが、意外な事に気づきました。そう、われらが文春の記事です。

bunshun.jp

 

 TwitterFacebookInstagramなどSNSのアカウントが不正アクセスで乗っ取られ、データの改ざん・削除や他のユーザへの迷惑行為に使われる被害は近年あとを絶ちません。またGoogleMicrosoftYahoo!などのサービスも、やはり不正アクセスを受ける危険をはらんでいます。

月1回、セキュリティチェックを欠かさずに
 2段階認証や、ログイン失敗時の通知設定などを適切に行っておくことは、これらの被害を減らすのに効果的ですが、あらゆるサービスでこれらセキュリティ機能が用意されているとは限りませんし、もし不正アクセスにつながりやすい設定があるならば、前もって取り除いておくに越したことはありません。

(文春記事より引用)

 

この記事を読んでいて気づきました。。。自分の(書きかけ)記事の対策案と同じ事が書かれていました。しかも・・・Google、Yahoo、TwitterFacebookInstagram、LINE、MicrosoftAppleDropboxと、すべて設定部分が丁寧に解説されています。

 

言いたかったのはまさにこの記事の内容でした。。。Piyokango氏の記事、文春記事、両方とも良記事です。

 

まだまだ精進が必要の様です。

 

ふと思った事。TwitterのCEOを攻撃したのは実は文春だった・・・・

 

 

====書きかけ記事====

正確にはTwitterアカウントハッキングという訳ではない様です。

Twitterは昨年5月に内部ログにパスワードを平文で公開していた事が判明し、ユーザへのパスワード変更や、2段階認証オプションの利用を推奨しています。当然の事ながら、CEOのジャック・ドーシーも2段階認証を使っていたかと思います。

www.cnn.co.jp

 

ではどこ経由だったのか?と気になったのですが、The Verge記事にその検証をされた方のTwitter投稿が掲載されていました。

ツイートは、TwitterがSMSサービスを支援するために以前に買収した会社であるCloudhopperを経由したようです。Twitterアカウントにリンクされた電話番号から404-04にテキストを送信すると、そのテキストはTwitterに投稿されます。ツイートのソースは「Cloudhopper」と表示されます。

(The Verge記事)※機械翻訳

f:id:foxcafelate:20190901095629p:plain


ジャック・ドーシー氏は、2010年に買収したCloudhopper経由で登録携帯からのSMSの投稿を許可してたので(※普段は使ってなかったと思われます)今回の不正投稿がされてしまった。つまり正規アカウントが侵害された訳ではない、Twitter広報のコメントはその視点で発表された様です。

 

※9/1PM追記 Piyokango氏の記事(Cloudhopper侵害は誤認)によると、CloudhopperでないSMSのコマンド投稿でもこの表示がされる可能性があるとの事でしたので、上記は正確では無いようですが、SMS経由という侵害の部分は同じなので、書きかけ部分の内容は修正してません。

 

これが事実であれば、Twitterの2段階認証が破られた訳ではない事は良かったとしても、別な問題として、登録された携帯番号がハッキングされた、という事になります。

 

この部分について日本のメディアで原因を推測している内容は見受けられませんでしたが、(※それもどうかと思わなくもありませんが・・・)Vergeは過去の事件と紐づけて、通信キャリアの従業員辺りが怪しい・・という内容を書いています。

今日のハックは、先週Twitterで多数のYouTube有名人を攻撃した同じグループからのもののようです。これには、美人ブロガーJames Charles、Shane Dawson、コメディアンKing Bachなどが含まれます。また、ハッカーは、Discordサーバーで収集されたスクリーンショットに見られるように、故Desmond“ Etika” Amofahの Gmailアカウントにアクセスしたと言われています。当時、影響を受けた人々の多くは、AT&Tの従業員がSIMカードを交換したためにアカウントが侵害されたことを示唆していました

「我々は、法執行機関と協力している、顧客サービスを復元して、アカウントをセキュリティで保護する方法を議論してきた、」AT&Tの広報担当者は語っ間際以前含み笑い隊の攻撃の後に。AT&Tは本日、コメントのリクエストに対応していません

(The Verge記事)※機械翻訳

 

事実がどうであるかは、調査中なので、しばらく出てこないかと思いますが、米国では通信キャリアの従業員経由でSIM(携帯電話)がハッキングされている、、、日本ではこうした事例を聞いた事がありませんが、クローンSIMのリスクは、日本の通信キャリア(の悪意ある従業員)にも潜在的に存在しているのかも知れません。

 

携帯キャリアからの内部漏洩(犯行)について、ユーザサイドでできる事はほとんど無いかと思いますが、直接のSNSアカウント(投稿)侵害原因については、ユーザでできる事が考えられます。

 

それが、外部連携設定です。

 

例えばTwitterの場合、外部アプリケーションとの連携は、設定画面で確認する事ができます。

もっと見る>設定とプライバシー>アカウント>アプリとセッション

f:id:foxcafelate:20190831104742p:plain

 

ここを見ると、現在twitterで外部連携を許可しているアプリケーションが出てきます。私の場合、はてなブログからTwitterに投稿していますが、今回のジャック・ドーシー氏のTwitter不正投稿で言えば、(許可された)この外部連携アプリに、Cloudhopper」サービスが残っていたものと推測されますここが閉じていれば、今回の事件は発生しなかったと思います。

f:id:foxcafelate:20190831105200p:plain

 

ユーザサイドでできる事、それは長期間のSNS利用でお試し登録も含め使わなくなったアプリがあれば、こうした連携アプリ登録を外しておく事です。定期的な棚卸をかける事をおすすめします。

 

因みに、今回の事件を受けて私もサービス登録をいくつか削除しました。Twitterだけでなく、Facebook、LINE、インスタグラム・・・と知らない間に色々と外部連携を許可してしまっていて、そこを外部から攻撃されるリスクを考えると、SNSは便利な反面、そうした使わなくなったサービスも残りがちになるので、留意が必要と言えそうです。

 

 

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 f:id:foxcafelate:20190901081838p:plain

 


 

更新履歴

  • 2019年9月1日PM(予約投稿)