Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

写真の価値はプライスレス

つぶやいてみた。

SNSは今や生活の一部と言っても過言ではありません。そんな中、Instagram7年間の”写真の一部”ハッカーによって完全に削除されてしまったという、悲しい記事が出ていました。

www.infosecurity-magazine.com

身代金へのアクセスは、33歳のアルファーガソンと43歳の妻ジェンが所有するInstagramアカウントに関連しており、父親のダズネットを対象とした子育てフォーラムを共同で設立しました。 

起業家精神にあふれた英国人カップルは、7年以上にわたり、Instagramで数万人のフォロワーと自分たちの生活の個人情報を共有してきました。しかし、ペアは最近、自分のアカウントからロックアウトされていることに気づきました。

ジェンはデイリースター に、ハッカーが自分のアカウントを侵害し、ハンドルを変更したと語った 。攻撃者はWhatsAppを介してメッセージを送信し、アカウントの制御を取り戻すために、彼女とAlがフォロワーごとに1ポンドを支払うよう要求しました。

ケント州タンブリッジウェルズに住むこのカップルは、Instagramアカウントに30,000人のフォロワーがおり、身代金の需要は41,500ドルを超えています。 

8月29日、WhatsAppを介して、Jenはハンドルが@ it'sTheFergusonsから@ PharaBenDarWay30Kに切り替えられたことを示すInstagramアカウントのスクリーンショットを受け取りました。 

プロフィール写真として配置されていた家族写真は、血まみれの顔の画像に交換されていました。攻撃者は、カップルのプロフィールの説明の代わりに、「このInstagramアカウントは所有者に売り戻されるために保留されています」と書いていました。

JenとAlは、Instagramアカウントの制御を取り戻そうとしましたが、失敗しました。ハッカーが連絡をとってから36時間後の火曜日に、アカウントは削除されました。 

カップルは、アカウントを介して共有した5,000枚の写真の一部が永久に失われたと述べました。7つの流産を含む家族の高値と安値をキャプチャするキャプションもなくなりました。 

アルは言った:「私たちは荒廃しています。過去7年間の私たちのすべての感情と記憶は、そのアカウントにありました。」

 

 

キタきつねの所感

SNSを狙ったランサム攻撃と言えるのかも知れません。

 

英国の人気子育てフォーラムDadsNetの創設者夫妻のInstagramアカウントが乗っ取られ、約4万ドルの身代金が要求された後(※交渉が決裂、又は正規にアカウントを取り戻そうしている最中に)Instagramのアカウントが削除されてしまった様です。

www.thedadsnet.com

 

アカウントをハックしたのは自身を「ザ・キング(王)」と呼ぶハッカーだった様ですが、王様が下々に「身代金」を要求するものなのか?との疑問はさておき、アカウント削除の結果として、5,000枚の写真の一部が完全に消えてしまった様です。

 

この夫妻はInstagramアカウントを使って子どもたちのフォトアルバムとしても利用していた様ですが、(恐らくアカウント復活された後でも)こうした投稿・共有されていた写真の一部が復活できなかったと考えると、第一義的にはハッカーが当然の事ながら悪い訳ですが、夫妻側にもハッキングされてしまう”隙があった”様に思います。

 

(侵害の経緯は分かりませんので以下想像になりますが)アカウントハッキングされた際に、恐らく夫妻は2段階認証を設定してなかったと推測されます。

 

Instagramでの2段階認証の設定については、色々な説明記事が出ていますので、そちらを参考にして頂ければと思いますが、上記の推測が正しければ、「ハッキングされてから設定したのでは遅い」という教訓を、夫妻は身をもって知ったのかと思います。

japan.norton.com

 

記事を読む限り、侵害されたアカウントは夫婦共用だった様ですので、恐らく「面倒」だったので2段階認証を設定してなかったのだと思います。

しかし、いかに強力なパスワードを設定していたとしても、”パスワードの使い回し”からの侵害インシデントが未だに続いている事を考えると、その考え方は危険です。

推測が過分に入りますが、不正アクセス「ガチャ」において、夫婦それぞれの”使い回し”により「当選確率が2倍」であった事が”当選してしまった”事の背景にある気がしてなりません。

 

調べてみると、Instagram複数デバイスでの2段階認証が設定は問題なさそうです。

複数のデバイスでInstagramの二段階認証をオンにするにはどうすればよいですか。

 

※ログインの手間、などユーザービリティの点でデメリットは出るとは思いますが、後からハッキングを嘆かない様に、他のInstagramユーザーも留意した方が良いかと思います。

 

もう1点、この夫妻が致命的だったのは、バックアップをしてなかったのか?という点です。インスタグラムでは(当然の事ながら)写真を含めたバックアップ機能があります。

appllio.com

 

定期的にバックアップを取っていれば、「写真が復活できない!」と嘆くリスクはかなり下がると思います。被害に遭った夫妻は7年以上に渡る自身の”横着さ”についても反省しているのではないでしょうか。

 

2段階(要素)認証と、バックアップ

 

基本的なセキュリティ対策ですが、横着していつの間にか”裸の王様”にならないためにも、皆様(私)も気を付けるべき点と言えそうです。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 裸の王様のイラスト

 

更新履歴

  • 2021年9月11日 AM