先週、多数のテクノロジー企業や著名人の公式Twitterアカウントが乗っ取られ、ビットコインの倍返しを約束する詐欺ツイートが投稿された。この問題を調査している間、Twitterは認証済みアカウントからの投稿とパスワード変更を制限した。
今のところ、個々のユーザーのアカウントが乗っ取られたのか、Twitterのシステム内で非常にまずいことが起きたのかはまだはっきりしない(Twitterは、攻撃に使われた可能性のある社内ツールのスクリーンショットを含むツイートを削除している)。とはいえ、脆弱性がどこにあったかに関わらず、これはアカウントのセキュリティを見直す良い機会だ。
著名人アカウントの大規模な乗っ取りは過去にも起きている。「Fappening」あるいは「Celebgate」と呼ばれた事件を覚えているだろうか。ハッカーが著名人のクラウドアカウントに侵入するためにパスワードを盗み、クラウドに保存されていた著名人のヌード写真を盗み、それをオンラインで公開した。こうした著名人アカウントの多くは、ハッカーが送ったパスワード入力を求める詐欺メッセージに応じてしまったことで侵入された。
だが、大規模乗っ取りの被害に遭うのは著名人だけではない。2018年には、攻撃者が一般人のRingカメラを乗っ取り、嫌がらせした。このハッカーは過去のデータ侵害で盗まれたユーザー名とパスワードを流用する「クレデンシャルスタッフィング」と呼ばれる手法を使った。
あなたが普通のTwitterユーザーであれ認証済みの著名ユーザーであれ、以下の対策でアカウントを安全に守ろう。
まずは強力なパスワードの設定から始めようと思う人もいるかもしれない。それについては後述する。強力なパスワードであっても盗まれてしまえば意味がない。だからこそ、Twitterアカウントを守るために最初にすべきなのは、2要素認証を有効にすることだ。ログインする際にもう1プロセス必要になり、ハッカーはあなたのパスワードを盗んだだけでは、この追加のプロセスを突破できない。
最強の2要素認証はYubicoやGoogleなどが販売している専用ハードウェアキーを使うことだ。新しいデバイスやウェブブラウザーでTwittterにログインする際、セキュリティキーをデバイスのUSBポートに接続してタップするよう求められる。接続してタップするとログインできる。
認証アプリやSMS経由のワンタイムコードを利用することもできる。これらの方法は、ハードウェアトークンよりも攻撃に対して脆弱だ。ハードウェアであれば、ハッカーはそのものを盗まなければならないからだ。だが、アプリやSMS経由の方が管理しやすいし、無料だ。セキュリティ専門家の多くが、これらの不完全な2要素認証でも何もしないよりはましだと認めている。
もちろん、Twitterアカウントでも他のあらゆるアカウントでも、強力で一意のパスワードを使うべきだ。だが、アカウントを多数持っていると、実行は難しい。ロボットではないので、ランダムな文字列を多数覚えておけるものでもない。
パスワード管理ツールは使いにくいが、パスワードの使いまわしを防げる。ハッカーに家の中を覗かれ、怒鳴られたRingユーザーはパスワードを使いまわしていたことを思い出してほしい。パスワード管理ツールの設定が難しければ、テクノロジーに詳しい友人に手伝ってもらおう。
Twitterで強力かつ一意のパスワードを使っているのであれば、それはよかった! それでもまだ、そのパスワードを盗もうとする人間に注意する必要がある。攻撃者はよく、Google、Twitter、Facebook、Microsoftなど、サービスプラットフォームから発信されたことを装うメッセージを送りつけてくる。よくあるのは、あなたのアカウントに不審な動きがあったとし、回復させるためにパスワードを再入力するよう促すものだ。
そこでパスワードを入力してはいけない。テクノロジー企業も銀行もその他のオンラインサービスも、メールやテキストメッセージ、電話であなたにパスワードを尋ねてくることは決してない。この方法がよく成功するのは、不審な動きがあるときいたユーザーが、結果についてはっきり考えないことがあるからだ。あなたはそうなってはいけない。
それでも、あなたがこうした攻撃の対象になったり、脆弱なパスワードを使っていたりしても、最初にすべきだと伝えた2要素認証を設定済みであれば、被害を受けずに済むかもしれない。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス