パスワードを忘れた? アカウント作成
10609287 story
インターネット

「@N」というTwitterアカウントを持っていた男性、ソーシャルハックを駆使されてアカウントを盗まれる 45

ストーリー by hylom
電話サポートには注意しましょう 部門より

TwitterクライアントEchofonの開発者であり、「@N」という1文字のTwitterアカウントを所持していたNaoki Hiroshima氏が、そのアカウントをソーシャルハックで盗まれたことを明らかにしたことが話題になっている(にぽたん研究所:50,000 ドルの価値がある Twitter アカウントが盗まれたその経緯NBC News:Details and denials emerge in twisted tale of @N Twitter extortionThe Next Web:The original owner of @N still hasn’t got his Twitter account back – someone else snapped it up)。

氏は独自ドメインのメールアドレスをTwitterに登録していたのだが、攻撃者はそのレジストラ(GoDaddy)へのソーシャルハックによってドメインに関する操作権限を奪い、続いてメールアドレスを奪ってTwitterやFacebookなどのアカウントにアクセスしたそうだ。Hiroshima氏はシリコンバレー在住のエンジニアであり、GoDaddyやTwitterの中の人とも連絡を取ったもののアカウントを取り返すことはできず、最終的に@Nアカウントを手放す代わりに攻撃者からGoDaddyのアカウントを取り返すことになったという。

また、GoDaddyのアカウント奪取にはクレジットカード番号が必要だったが、その情報の一部(クレジットカード番号の末尾4桁)はPayPalに電話をかけることで入手できたという。さらに、GoDaddyはその末尾4桁+推測した番号だけだけで本人確認を行っていたそうだ。

今回の件では、PayPalなど、クレジットカード番号を登録している会社は簡単にその番号を第3者に漏らしてしまう可能性があること、またクレジットカード番号の一部だけで本人確認をしてしまう残念な会社があるということが判明したことも波紋を投げかけてるようだ。ちなみに、以前「iCloudアカウントが乗っ取られiPhoneやiPad、MacBookが遠隔消去される」という事件があったときも電話を使ってアカウントの奪取が行われていた。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by tea_cup (14249) on 2014年01月31日 18時43分 (#2537228) 日記

    > 続いてメールアドレスを奪って
    ではなくて、ドメイン取られたので、メール(独自ドメイン使用)が自動的にのっとり相手に届くようになったのに...。

    • by Anonymous Coward

      Twitterのアカウントも、脅しに折れる形で自ら明け渡してるようですしね…。
      ちゃんとソース読んでるのかと。

      • by Anonymous Coward

        @Nアカウントをリリースした直後に友達に獲らせて、
        「リリースしたぞ。好きに持ってけや」って答えておけば、第二ラウンドを戦えたのにね。
        まあ、その時は奪われたドメインがどうなってたかは判らんけど。

  • 既設のアカウントでは無いですが、自分のgmailのアドレスで、アメリカの出会厨のおっさんにFacebookのアカウントを新規に取られました。
    Facebookのアカウントの消し方がどうしても分からず、パスワードを変えて塩漬け。

    いまだにそのおっさん、私のアドレスで出会系SNSに登録するらしく、見たことの無いサイトのConfirmationが時々来ます。
    DeactivateしようがAbuseをReportしようが、ひたすら色々送りつけてくるとこもあって、とっても迷惑。

    今気付いた・・・FacebookだとAllen Dullesだったのに、違うサイトのはAllen Scottだ。

    どっちでもいいけど、この世から去って欲しい。

    • by Anonymous Coward on 2014年02月01日 1時36分 (#2537470)

      同じくGmailのアドレスでFacebookのアカウントを勝手に作られました。
      よく覚えていませんが、削除するためには個人情報の書き換え・パスワードの変更・アカウントの削除申請の3つが必要だったと思います。

      親コメント
    • by Anonymous Coward

      なにもしてないのに、というあれですか?
      gmailのパスワードは変えたんだろうか

      • もちろんgmailのパスワードは即座に変更。業界関係者以外にはランダム文字列に見えるようなものに。

        他人のメールアドレスでも、携帯の番号を登録するとそっちで認証されるらしい。
        削除申請で携帯番号入れろとか出てきて、こんなところに番号渡すのいやだから、サポートに
        「知らん人が取ったので、消してくれ」と何度も送ったけど、全部無視られた。まぁ、つたない英語ではあるが。

        これ以来、別のメールアドレスで取ったFacebookアカウントも使ってない。

        親コメント
    • Huckというのはhackとfuckの合成語ですか?

  • by Anonymous Coward on 2014年01月31日 22時48分 (#2537392)

    原文も読んできましたが興味深いですね…。

    僕自身、gmailみたいなフリーのアドレスより独自ドメイン自前サーバのメールのほうが安全と思ってFacebookやTwitterは自前のアドレスで登録していましたが、レジストラをソーシャルハックされるとメールが全部他のサーバへ引っこ抜かれる危険性があるとは盲点でした。
    GoDaddyやPayPalがちょろすぎたというのはありますが僕が使ってるレジストラもどこまで信用できるかは疑わしい…(安いとこだし)。
    まあ、盗まれるような価値あるものを持ってないから気にする必要はないっちゃないんですが。

    • by Anonymous Coward
      これだけで独自ドメインのほうが危険とは言えないでしょう。

      誰も知らないドメインなら狙われることすらないかもしれないし。
      某MSのフリーメール使っていて行ったことない国からのログオン履歴が残っていたこともありますよ(しかも問い合わせがめんどくさいんですよね、あそこのメール)。
      • by Anonymous Coward

        whoisに登録するという前提なら誰も知らないということはありえない。

        • by Anonymous Coward
          重箱の隅かよ。
          それ以前に登録代行は知ってるだろ。
      • by Anonymous Coward

        あなたがメールを送ったことのある相手の誰か一人でもLINEを使っていたら?

        • by Anonymous Coward
          それはLINEが危険なだけでしょ。LINE以外も似たり寄ったりだとは思うが。

          ログイン試行方法から侵入後どうすれば情報をとれるかわかってるメールアドレスと、侵入しても対して権限のないかもしれない独自ドメインのメールアドレス、今回みたいに個人をピンポイントで狙うんじゃない限り無差別攻撃の対象となる有名なドメインの方が危険だと思うんだが。
        • by Anonymous Coward

          LINEを使っていなくても、スマホを使っていれば?
          ですね、言うなれば

  • by alternative (23238) on 2014年01月31日 18時06分 (#2537203)

    電話は嫌いなんだよ。

    出ちまったら見なかったことにできないし、名前を聞かれた後だと、
    それがどんなに無茶なことでも無下に断りずらいし

    • Re:これだから (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2014年01月31日 22時50分 (#2537396)

      だからオレは電話に出んわ

      親コメント
      • by Anonymous Coward

        嫌いな電話を持たなければ
        電話番号を要するサービスを利用しないわけで

    • by Anonymous Coward

      言われて断ることは出来ないくせに、その前に見なかったことにするのは出来るんだ…
      何そのメンタリティー……

      • by Anonymous Coward
        元コメじゃないけど、

        古来より居留守という技術がある、
        狸寝入りという技術もあるな。

        # 見なかったことにする方が簡単だと思うが
        • by Anonymous Coward on 2014年01月31日 21時20分 (#2537342)

          いや、見なかったことにするだけならいいんですよ。
          出ない事が断りの意思表示にもなるでしょう。
          ただ、出ない理由が「出たら断れないから」じゃあ駄目駄目。

          親コメント
          • by Anonymous Coward

            意図がわかってないようだな…
            そういうことじゃないんだよ

            • by Anonymous Coward

              いや、もしかすると的を外した返答をすることによって
              「無下に断りづらいなら、こういう的を外した返答をすればやり過ごせる」
              というメッセージを送っているのではないだろうか?

  • 番号の確認のための開示(漏洩)について、PCI DSSとかに規定ないのかな?(作るとか、規格はなくても業界で暫く「こういう風にして揃えられないようにしよう」とか)

    パズルして組み立てられちゃうような状態だと番号が意味なくなると思うんだけど。

    --
    M-FalconSky (暑いか寒い)
    • by Anonymous Coward

      つか、そもそも
      ”クレジットカード番号で本人確認”

      そのものを全般的にやめろ。

      と思うが。
      一部だろうが、全部だろうが
      "絶対に本人と相手しか知らないものではない"

      んだから。(他のネットショップで決済していれば知っている)

  • by Anonymous Coward on 2014年02月01日 9時16分 (#2537522)

    @Nというアカウントに一般的な価値があるっていう意味が良く分からない。
    N氏と奪った奴的には価値が高かったのだろうということはまあ想像できるけど。

    • by Anonymous Coward on 2014年02月02日 8時27分 (#2537974)

      欲しがったのは星新一だろうね。
      >エヌ氏

      次はエフ氏が危ないかも。

      親コメント
    • by Anonymous Coward

      N氏はアカウントを手に入れるのに5万ドル使っているわけで、時価とはいえ、一般的に換金性があるだろうってことは想像に難くないんじゃないかな?

      • by Anonymous Coward

        "「5万ドルでゆずってくれ」と言われたことがある" だけでわ?

        • by Anonymous Coward

          今にして思えば、結局タダで手放す羽目になるならそのとき譲っておけばよかったな。

    • by Anonymous Coward

      車のナンバープレートや、電話番号みたいなもんですかね
      下四桁1129って電話番号の人が焼肉屋から譲ってくれと言われるように

  • by Anonymous Coward on 2014年01月31日 18時03分 (#2537200)

    この一件で @N は盗品であることが明らかになったわけですが、今後このアカウントは誰が何のために使うんでしょうね。

    • by Anonymous Coward on 2014年01月31日 18時11分 (#2537208)

      というか、盗品であることが明らかなんだから、Twitterの運営が
      本来の持ち主へ返せよ……と思うんだけど、そう簡単ではないのかな。

      考えてみればTwitterって、メールアドレス以外はデタラメな
      情報を入力しても通るわけで、本人確認手段がないのか……。

      親コメント
      • by Anonymous Coward on 2014年01月31日 18時59分 (#2537246)

        この騒ぎは、@Nアカウントを欲しがっているNaoki Hiroshima氏によるソーシャルハック、という可能性を否定できないですからね。

        親コメント
        • by Anonymous Coward

          ログとかあるんだし確認可能だろ。
          前例や特例を作りたくないだけだろ。

          • by Anonymous Coward

            強奪なので第三者的には贈与か強奪かを証明するのは難しい。

      • by Anonymous Coward

        メールアドレスもデタラメでも当分はつぶやけるよ。メールアドレス認証とかないし。
        そのメールアドレスの持ち主が存在するならパスワードリセットされる可能性が高いけど。

        • by Anonymous Coward

          勝手に使われたメールアドレスでも、パスワードリセットすると、不正アクセスになる可能性が……

  • by Anonymous Coward on 2014年01月31日 20時18分 (#2537293)
    対策はPaypalを使わないか、Paypalでつかったクレジットカードは他で使うなって事ですかね。
  • by Anonymous Coward on 2014年01月31日 22時32分 (#2537381)

    ドメインのレジストラをソーシャルハックしてドメイン盗難とか酷すぎる
    これ法的とか技術的とか阻止可能なドメイン登録を用いるレジストラを使うと、今度は申し込みがめんどくせーとか言う事態をまねくのか。

    うーむ、

    これ本人の側で即時対応可能じゃないのがもんだいじゃないの?
    ソーシャルハックって人間の問題なのでシステム的に保護できないよね。
    あとクレカ情報抜かれてるのも困る、とっても!!
    paypal捨てた方が良いん?

    • by Anonymous Coward on 2014年01月31日 22時46分 (#2537389)

      この件の場合、カード番号の断片だけで本人確認としてしまったGoDaddyが一番間抜けじゃないの。

      対策としてはレジストラにカード番号を渡さないことか。
      銀行振込とかコンビニ払いとか。日本のレジストラじゃないと無理だけど。

      親コメント
      • by Anonymous Coward

        日本ならお企業様のささいなミスを下々が文句を言うのは許せん!となるけど、懲罰的損害賠償喰らってトレジストラ閉鎖の危機という事態にでもなりゃ一罰百戒で安全になるんじゃねーの?

        • by Anonymous Coward

          業者が割りに合わない商売と考えて、ことごとく廃業or大幅値上げするかもね。

      • by Anonymous Coward

        日本のドメイン屋だとカード番号は決済代行会社に丸投げ(自分では管理していない)ところも多いよ。
        「カード番号を自社サイトに入力させたがるようなところは使わない」に尽きるでしょう。
        関連ストーリー: http://security.srad.jp/story/14/01/31/227216/ [srad.jp]

typodupeerror

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

読み込み中...