50,000 ドルの価値がある Twitter アカウントが盗まれたその経緯 - にぽたん研究所

January 29, 2014

このエントリーをはてなブックマークに追加
ひろしまさん (廣島さん) は、これまでたった 1 文字の Twitter アカウント @N を持っていました。

何故「持っていました」と、過去形なのかというと、どうやら先日、巧妙な罠に、本人ではなく 2 社の有名 IT 関連企業がハメられたことによって、ひろしまさんの稀少なそのアカウントが第三者によって盗まれてしまったそうなのです。

2014/02/26 追記:
記事掲載時点では「持っていました」と過去形で表現していますが、ひろしまさん本人によるツイートで、2014/02/25 の昼過ぎ (日本時間 2014/02/26 の早朝) に、この事件によって盗まれてしまったアカウント @N がようやく取り戻されたことがわかりました。



解決まで一ヶ月以上という相当な時間がかかりましたが、無事解決に至ったようです。



何故そんな悲劇が起こったのか、ことの経緯が詳細にひろしまさんの Medium に掲載されていました。

カリフォルニア在住のひろしまさんの Medium は、原文が英語なので (たまに日本語を書くとひらがなしか書かない)、簡単に和訳したものをここに掲載します。

おそらく「まさか自分の身にそんなことは起こるまい」とおもっているでしょうが、これは自分の認識の甘さということより、企業の認識の甘さが原因になっています。だから言ってしまえば「誰の身に起こるかわからない」ということを肝に命じ、文末にある注意喚起をアドバイスとして参考にされると良いとおもいます。



どうして 50,000 ドルの私の Twitter アカウントを失なったか



私の $50,000 する Twitter ユーザ名が盗まれた。PayPal さん、GoDaddy さん、ありがとう


私は、稀少な Twitter ユーザ名 @N を持ってました。たった 1 文字です。50,000 ドル (注: 記事執筆時点の日本円換算で約 515 万円) で欲しいとも言われました。人々はこのアカウントを盗もうとします。メールの受信箱にはパスワードリセットの案内メールが毎日のように来ます。そして、今日で @N をコントロール出来なくなりました。奪われてあきらめました。

2014/01/20、昼食中に PayPal からワンタイムパスワードのメッセージを受信しました。何者かが私の PayPal アカウントを盗もうとしていました。無視してそのまま食事を続けました。

同日その後、Google Apps を利用して、個人用ドメイン (GoDaddy というレジストラで登録されている) のメールをチェックしました。すると GoDaddy から「アカウント設定変更確認」という件名の最終通達が届いていたのを見付けました。
そこには、何故それが最終のなのか、正当な理由がありました。
送信者: <support@godaddy.com> GoDaddy
宛先: <*****@*****.***> Naoki Hiroshima
日時: Mon, 20 Jan 2014 12:50:02 -0800
件名: アカウント設定変更確認

ひろしまなおき 様

このメールは、以下のカスタマーアカウントによってアカウント設定が変更されたため受信しています:

XXXXXXXX

このリクエストが反映されるまでには少し時間がかかります。

もしこの設定変更があなたの同意なしに行なわれていたら、あなたのアカウントでログインを行ないセキュリティ設定を更新してください。

ログイン不可能な場合、もしくはこのアカウントに紐付けられたドメイン名に対する変更が無断にて行なわれているのであれば、支援のために弊社カスタマーサポートにご連絡ください:
support@godaddy.com または (480) 505-8877

このアカウントは弊社共通のサービス利用規約に従うものとします。

敬具
GoDaddy

自分の GoDaddy アカウントにログインを試みましたが、ダメでした。
GoDaddy に電話し状況を説明しました。担当者は私に本人確認のためにクレジットカードの末尾 6 桁を尋ねてきました。
でも、クレジットカード情報が攻撃者によって既に変更されてしまっていたため、本人確認出来ませんでした。それどころか、私の情報全てが既に変更されていたのです。
自分がそのドメインの本当の持ち主であることを証明する手段がなくなってしまいました。

GoDaddy の担当者は、私の政府発行の身分証明書を利用して GoDaddy のウェブサイトに事例報告するように提案してきました。そうしてみたところ、返答に 48 時間かかると告げられました。
私はそうすることで、私の身分証明とアカウント所有権が十分に証明されると期待していました。

強奪が始まる


ほとんどのウェブサイトは本人確認にメールを使います。あなたのメールアカウントが危険に晒されていれば、攻撃者はその他多くのウェブサイトのパスワードをいとも簡単にリセットできます。GoDaddy で登録されたドメインのコントロール権を奪うことによって、攻撃者は私のメールがコントロール可能になります。

誰もが欲しがってやまない私の Twitter ユーザ名が狙われている。以前攻撃を受けた経験から、すぐに気付きました。妙なことに、私の知らない何者かが、Twitter のメールアドレスを変更するよう進言する Facebook メッセージを私宛に送ってきました。これは攻撃者によって送られてきたものだと推測しましたが、気にせずに変更をしました。Twitter アカウントのメールアドレスは攻撃者からアクセスできないものになりました。

攻撃者は、何度も Twitter パスワードのリセットを試み、私のドメインの MX レコード (注: ドメインに対してメールの宛先サーバのホスト名を指定する値) の変更が反映されるまで時間を要するためにパスワードリセットのメールが一切受信出来ないんだと気付きました。
この攻撃者は Twitter の Zendesk (注: カスタマーサポートツール) に問題点番号 #16134409 を公開しました。
N, Jan 20 01:43 PM:

Twitter ユーザ名: @n
あなたのメールアドレス: *****@*****.***
最終ログイン: 12 月
携帯番号 (任意): n/a
その他 (任意): パスワードリセットのメールを受信出来ないので、手動で送ってもらえますか?

Twitter は、それを行なうためにはより詳細な情報を提供するよう攻撃者に求めたので、攻撃者はこのやり方を諦めました。

後でわかったことですが、この攻撃者はかつて私の Facebook に対し、侵略をしかけてきていました。私は友人たちが、私の Facebook アカウント上での奇妙な行動について尋ねることが始まった時に、何が起こったのかを知り、ゾっとさせられました。

とうとう私宛に攻撃者からメールが来ました。攻撃者は以下のメッセージで強奪を試みました。
送信者: <swiped@live.com> SOCIAL MEDIA KING
宛先: <*****@*****.***> Naoki Hiroshima
日時: Mon, 20 Jan 2014 15:55:43 -0800
件名: こんにちは

僕は君が私の共犯者と話しているのを見たよ。
ただ君に伝えたいことは、君が正しかった、@N が狙いなんだよってこと。
これはほとんど使われてないように見える。
それと、君に教えたいのは君の GoDaddy ドメインは私の所有下になっていて、一度の虚偽の手段によってそれらは GoDaddy によって差押えられ、二度と見ることが出来ないということ。

君は相当数のナイスなウェブサイトを運営しているようだけど、僕は今のところそいつらを放っておいてて、サイト上の全データは無傷で残してあるよ。交渉する気はあるかな?@N のハンドル名を変更するまでの間 5 分間ぐらいのアクセスすることと、君の GoDaddy とデータの安全確保が引き換えだよ?

その後間も無く、GoDaddy から返事が来ました。
送信者: change@godaddy.com
宛先: <*****@*****.***> Naoki Hiroshima
日時: Mon, 20 Jan 2014 17:49:41 -0800
件名: アップデート [問題点 ID: 21773161] — XXXXX.XXX

残念ですが、ドメインサービスはあなたからの変更要求に対し、当該ドメインの現在の登録者があなたではないために、応じることが出来ません。弊社はレジストラとして、登録者の同意を確認した後のみ、その種の変更作業を行なうことが可能です。継続審議を望む場合、本件について継続審議を行なうためには、あなたは以下のオプションの中から一つ以上を決める必要があります:

1. http://who.godaddy.com/ にアクセスし、利用者が直接この問題を解決するために、ドメイン名に対して whois レコードを設定してください。

2. http://www.icann.org/dndr/udrp/approved-providers.htm へ行き、ICANN が承認した仲裁事業者を見付けてください。

3. あなたの顧問弁護士に以下リンクを伝え、法的な文書を GoDaddy に送付してください:
http://www.godaddy.com/agreements/showdoc.aspx?pageid=CIVIL_SUBPOENA
GoDaddy は本件を打ち切りと見なします。

私のクレームは、私が「現在の登録者」ではないという理由で拒否されました。GoDaddy は攻撃者がそれを行なった時にはわざわざ私には尋ねず、その間、攻撃者にアカウント情報の変更が OK なのかどうかは尋ねていました。私は、GoDaddy が本当の所有者に対して責任を擦り付けてきたことに腹が立ちました。

私の同僚の一人が GoDaddy の幹部と繋げてくれました。その幹部はセキュリティチームを巻き込もうとしましたが、何も起こりませんでした。もしかしたらマーティン・ルーサー・キング・ジュニア・デーだったからかも知れません。

そして、攻撃者から続けてメールが来ました。
送信者: <swiped@live.com> SOCIAL MEDIA KING
宛先: <*****@*****.***> Naoki Hiroshima
日時: Mon, 20 Jan 2014 18:50:16 -0800
件名: …こんにちは

利用権限の交換をする気あるの?GoDaddy のアカウントは準備できてるよ。パスワードは変更されて、当たり障りのないメールがそこにリンクされるよ。

Twitter にいる友達の一人に Twitter アカウントが攻撃者に所有権を取られた場合、復帰させる手段について確認しました。私は @mat (注: Wired のライター Mat Honan 氏) に起こったことを覚えていて、即座にアカウントを諦めることが復活不可能な状況を逃れる唯一の方法だと結論付けました。そして、攻撃者に言いました:
送信者: <*****@*****.***> Naoki Hiroshima
宛先: <swiped@live.com> SOCIAL MEDIA KING
日時: Mon, 20 Jan 2014 19:41:17 -0800
件名: Re: …こんにちは

@N を手放したよ。今すぐ持っていきな。

2007 年の始めに登録して以来初めて、ユーザ名を @N から @N_is_stolen に変更しました。とりあえずは、私の厄介なユーザ名よ、さようなら。

こんな返事をもらいました。
送信者: <swiped@live.com> SOCIAL MEDIA KING
宛先: <*****@*****.***> Naoki Hiroshima
日時: Mon, 20 Jan 2014 19:44:02 -0800
件名: RE: …こんにちは

どうもありがとう。君の GoDaddy のパスワードは: V;Mz,3{;!’g&

もし僕が君の GoDaddy のアクセス権をどうやって手に入れたのか、これからどう自身の安全を確保すれば良いのか、知りたければ、詳しく言うよ。

攻撃者は即座にユーザ名の所有権を奪い、私は GoDaddy のアクセス権を取り戻しました。

PayPal と GoDaddy が攻撃を手助けした


私は攻撃者にどうやって私の GoDaddy のアカウントが漏洩したか尋ねたら、以下の返事をもらいました:
送信者: <swiped@live.com> SOCIAL MEDIA KING
宛先: <*****@*****.***> Naoki Hiroshima
日時: Mon, 20 Jan 2014 19:53:52 -0800
件名: RE: …こんにちは

- PayPal に電話し、非常に簡単なエンジニアリング (ソーシャルエンジニアリング?) 戦術を使ってあなたのカードの末尾 4 桁を入手 (これを逃れるためには PayPal に電話し、電話経由ではいかなる情報も公開してしまわないように、職員にアカウント情報に注意を書き足してもらう)

- GoDaddy に電話し、彼らにカードを失くしてしまったけれど、末尾 4 桁だけ覚えていると伝えると、職員は数字の範囲 (君の場合は 00 〜 09) から試すことを許してくれた。GoDaddy のアカウントの安全性を高める方法は僕には見付けられていないけど、より安全なレジストラをおすすめして欲しいのであれば: NameCheap か eNom (ネットワーク・ソリューションズではないけれど enom.com)

PayPal が電話で私のカード番号の末尾を攻撃者に伝えたことか、GoDaddy はそれを本人確認として受け入れたことか、何がより一層ショックだったのか、決めるのは難しい。
これについて尋ねた時、攻撃者から以下の返事が来ました。
送信者: <swiped@live.com> SOCIAL MEDIA KING
宛先: <*****@*****.***> Naoki Hiroshima
日付: Mon, 20 Jan 2014 20:00:31 -0800
件名: RE: …こんにちは

そう、PayPal は電話でそれを教えてくれた (僕は従業員のフリをしたよ) し、GoDaddy はカードの最初の 2 桁を「推測」させてくれたよ。

でも、2 桁を正確に推測するのって難しいでしょ?
送信者: <swiped@live.com> SOCIAL MEDIA KING
受信者: <*****@*****.***> Naoki Hiroshima
日時: Mon, 20 Jan 2014 20:09:21 -0800
件名: RE: …こんにちは

最初の電話でそれを手に入れて、殆どの職員は当たるまでひたすら試し続けるよ。

彼はただ二つの数字を推測すればよくて、それを一度の電話でそれを可能にした、彼はラッキーだった。GoDaddy は彼に正解するまで答え続けることを許した。ありえない。なんだかケヴィン・ミトニックの狂信者と取引をしていたみたいーこれじゃまるで企業は 1995 年頃のミトニックの攻撃から何も学んでいないかのようだ。

ログイン用メールアドレスに独自ドメインは避ける


私の GoDaddy アカウントの復旧にともない、自分のメールへのアクセスが同様に復活した。使用する数々のウェブサービスのメールアドレスを @gmail.com のものに変更した。Google Apps メールアドレスに独自ドメインを使うのは使い勝手が良いけれど、ドメインサーバが侵害されるとそれを盗まれるチャンスを持っています。@gmail.com のアドレスを Facebook のログインに使っていれば、攻撃者は私の Facebook アカウントにアクセスするのは不可能だったでしょう。

もしあなたが Google Apps のメールアドレスを数々のウェブサイトでログイン用に使っているなら、使わないようにすることを強く提唱します。@gmail.com をログイン用に使いましょう。素敵な独自ドメインのメールは連絡目的なら使えます。私は未だそうしてます。

付け足すと、MX レコードの TTL (注: Time To Live … DNS 検索した結果をキャッシュさせる時間) は、念の為、長い時間にしておくことを推奨します。何故なら、私の場合は 1 時間の TTL だったのですが、それでは、侵害されたドメインのメールは DNS の制御を失なってからメールを受信するのに十分な時間がありませんでした。例えば一週間の TTL だったら、盗まれたアカウントを復活させるチャンスが大いにあったかも知れません。
2 段階認証はマストです。恐らく攻撃者が私の PayPal アカウントにログインすることは防げていたでしょう。とはいえ、この状況が示すように、二段階認証があらゆる問題から身を助けてくれるわけではありません。


まとめ


間抜けな会社が個人情報 (クレジットカード番号の一部とか) を第三者に流すかも知れない。そういう会社のいくつかは、未だに本人確認でクレジットカードの最後の数桁を言わせるような容認出来ない手段を採用しています。

あなたのデジタルライフをぶち壊すような彼らの軽率さを避けるために、あなたのクレジットカード情報をPayPal や GoDaddy のような会社に預けるのはやめましょう。私の情報は消しました。合わせて、出来るだけ早く GoDaddy と PayPal を退会するつもりです。



原文 (ひろしまさんの Medium)

欺術(ぎじゅつ)―史上最強のハッカーが明かす禁断の技法
ケビン・ミトニック, ウィリアム・サイモン, 岩谷 宏
ソフトバンククリエイティブ

ソーシャル・エンジニアリング
クリストファー・ハドナジー, 成田光彰
日経BP


nipotan at 17:47 | 技術 
このエントリーをはてなブックマークに追加

Trackbacks

1. ここは酷い感応機雷ですね  [ 障害報告@webry ]   January 30, 2014 02:08
機雷掃海戦―第一五四号海防艦長奮戦記 (光人社NF文庫)光人社 隈部 五夫 Amazonアソシエイト by 商船学校を出た予備仕官の著者は海防艦の艦長となる 南方への出撃を命じられるが建造時のトラブルで断念し 関門海峡の掃海が任務になった。あの関門海峡である もとより平

Comments

1. Posted by はてぶから   September 21, 2014 19:50
それほど価値のあるアカウントがあることにびっくりしました