[UPDATE] 今回のTwitter管理アカウントのハッキングは、Twitterの従業員の1人に対するソーシャルエンジニアリング攻撃の結果によるもののようだ。これは、2009年1月に起こった攻撃に似ている。以下は、時系列での出来事の説明になる。
米国時間4月29日、フランスのハッカーがTwitterの管理パネルへのアクセスを入手したと主張した。この男性が示した、米国大統領Barack Obama氏、Britney Spears氏、Ashton Kutcher氏、LilyAllen氏に属するアカウントの内部データを含むスクリーンショットや、Twitterの裏側にあるさまざまな部分の詳しい話から判断すると、この話は本当のように見える。
Hacker Crollというハンドル名のこのハッカーは、Twitterの管理パネルのスクリーンショットを13件示し、「これらの画像は、.htaccessで保護された管理領域で撮ったものだ」とコメントしている。アカウント所有者のデータが変更されたかどうかは明かではないが、管理パネルへのアクセスが取得されたと仮定せざるを得ず、同氏が望むデータを何でもダウンロードできた可能性が非常に高い。
この攻撃の2週間前には、MickeyyによるXSSワームの複数の亜種が、この成長を続けているマイクロブログサービスを攻撃している。
[UPDATE] このページに掲載されたスクリーンショットは、4月27日に自分のYahoo! Mailアカウントが侵害を受けたと報じたTwitter従業員のアカウントを通じて入手されたものだ。メッセージには、「Wow - my Yahoo mail account was just hacked.」、「If anyone with Yahoo! Security is out there, hit me up with an reply」と書かれている。
興味深いことに、Hacker Croll氏は、別の掲示板で今回のセキュリティ侵害に関する詳細について説明している。同氏は「管理者の1人がyahooアカウントを持っており、私は秘密の質問に答えてそのパスワードをリセットした。その後、メールボックスを見て、彼女のtwitterパスワードを見つけた」と述べており、「ソーシャルエンジニアリングしか使っておらず、攻撃コードも、クロスサイトスクリプティングの脆弱性も、バックドアも、SQLインジェクションも使っていない」としている。
2008年9月にSarah Palin氏の個人電子メールアカウントがハッキングされた際にも、これに似たパスワードリセット攻撃が使われている。
この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ
