相次ぐアカウント乗っ取りに対抗する手段としてTwitterが導入した2要素認証のオプションについて、フィンランドのセキュリティ企業F-Secureが検証結果をブログで公表し、「実害の方が大きいかもしれない」と警鐘を鳴らしている。
Twitterの2要素認証は、アカウントに携帯電話番号を登録しておくと、以後のログインにはその番号あてに毎回送られてくる6けたのコードの入力が必要になる仕組み。
しかしF-Secureによれば、Twitterはセキュリティ対策とは別に、SMSを使ってツイートを送受信できる機能も提供している。この機能では、ローミングなどの料金がかさむのを食い止めるため、TwitterあてにSMSで「STOP」というテキストを送って、自分のアカウントの電話番号登録を解除することが可能だ。
もし攻撃者が標的とするアカウントの電話番号を知っていた場合、この機能を悪用し、SMSスプーフィングの手口を使って電話番号登録を解除できてしまう可能性があるとF-Secureは指摘する。
さらに悪いことに、ユーザーが2要素認証のオプションを有効にしていない場合、攻撃者がフィッシング詐欺などの手口を使ってそのアカウントのログイン情報を入手した上で、無作為の電話番号を勝手に登録して2要素認証を有効にすることもできるという。以後、ユーザーは自分のアカウントにログオンできなくなる。
米AP通信など大手報道機関のアカウントが乗っ取られた事件では、実際に攻撃者がフィッシング詐欺などの手口を使ってパスワードなどを盗み出していた。盗んだ情報を使って2要素認証を設定し、正規ユーザーを締め出してしまう可能性は十分にある。
F-Secureは「アカウント乗っ取りの標的として狙われる組織にとって、2要素認証は助けになるどころか実害の方が大きいかもしれない」と指摘。他人に2要素認証を有効にされる前に、自分で有効にしておいた方が良さそうだとアドバイスしている。
関連記事
関連リンク
Copyright© 2013 ITmedia, Inc. All Rights Reserved.