ジョン・マカフィー曰く、2要素認証を有効にしたらTwitterアカウントがハックされた 30
ストーリー by headless
伝説 部門より
伝説 部門より
自身のTwitterアカウントが2要素認証を有効にしたせいでハックされたと「サイバーセキュリティのレジェンド」ジョン・マカフィー氏が主張している(HackReadの記事、
BetaNewsの記事、
BBC Newsの記事)。
マカフィー氏は12月21日から「Coin of the day」として、あまり知られていない今後が期待される仮想通貨を毎日Twitterで紹介していたが、26日をもっていったん休止し、毎週月曜日の朝(初回は1月1日)に「Coin of the week」として再開すると宣言していた。しかし、27日に偽の「Coin of the day」がマカフィー氏のアカウントで複数投稿されたらしい。
マカフィー氏はアカウントがハックされ、Twitterに通知したとツイートし、偽投稿は既に削除されている。別のツイートではセキュリティのエキスパートであってもTwitterのセキュリティまでは手が届かないとし、自身がハッカーの恨みを買って攻撃のターゲットになっているとも述べている。マカフィー氏の偽アカウントもたびたび出現しているようだ。状況に関する質問に対しては、携帯電話が乗っ取られたらしいと返信しており、BBCの取材には2要素認証を有効にした際に認証コードがハッカーに盗み見られたとの見解を示したとのこと。その後マカフィー氏はすべてのアカウントで2要素認証を無効にしたそうだ。
どのような攻撃を受けたのかは不明だが、HackReadの記事では共通線信号No.7(SS7)の脆弱性が使われた可能性を指摘している。マカフィー氏が最高サイバーセキュリティビジョナリーを務めるMGT Capitalではセキュリティに主眼を置いたスマートフォン「Privacy Phone」バージョン2を2018年に発売する計画だが、攻撃にあった携帯電話の機種に関する質問には回答していない。レジェンドの思わぬ失態を面白がっているセキュリティ専門家もいるようだ。
マカフィー氏は12月21日から「Coin of the day」として、あまり知られていない今後が期待される仮想通貨を毎日Twitterで紹介していたが、26日をもっていったん休止し、毎週月曜日の朝(初回は1月1日)に「Coin of the week」として再開すると宣言していた。しかし、27日に偽の「Coin of the day」がマカフィー氏のアカウントで複数投稿されたらしい。
マカフィー氏はアカウントがハックされ、Twitterに通知したとツイートし、偽投稿は既に削除されている。別のツイートではセキュリティのエキスパートであってもTwitterのセキュリティまでは手が届かないとし、自身がハッカーの恨みを買って攻撃のターゲットになっているとも述べている。マカフィー氏の偽アカウントもたびたび出現しているようだ。状況に関する質問に対しては、携帯電話が乗っ取られたらしいと返信しており、BBCの取材には2要素認証を有効にした際に認証コードがハッカーに盗み見られたとの見解を示したとのこと。その後マカフィー氏はすべてのアカウントで2要素認証を無効にしたそうだ。
どのような攻撃を受けたのかは不明だが、HackReadの記事では共通線信号No.7(SS7)の脆弱性が使われた可能性を指摘している。マカフィー氏が最高サイバーセキュリティビジョナリーを務めるMGT Capitalではセキュリティに主眼を置いたスマートフォン「Privacy Phone」バージョン2を2018年に発売する計画だが、攻撃にあった携帯電話の機種に関する質問には回答していない。レジェンドの思わぬ失態を面白がっているセキュリティ専門家もいるようだ。
2要素認証 (スコア:1)
SMS認証が突破されても、もう1要素のパスワードがわからなければ悪用できないのでは?
どこかで勘違いしてそうなのでどなたか教えてください
2要素認証を有効にするために電話番号を登録すると、かえって脆弱になるサービスも多い (スコア:5, 参考になる)
本来そうあるべきなのですが、2要素認証の2要素目(音声通話やSMS)だけで認証突破できてしまう偽物の2要素認証を実装しているWebサービスが多いのです。
個人向けのWebサービスの多くは、パスワードを忘れた場合のリセットコードを音声通話やSMSでも受け取れるようになるので(電話番号を登録していない場合は登録メールアドレスへの電子メールのみで受け取れる)、2要素認証を有効にするために電話番号を登録すると、安全なパスワードをきちんと管理しているケースではかえって脆弱になることがあります。
Googleアカウントも、電話番号登録 & 2要素認証有効化している場合、ロック状態のスマートフォンを机に放置して離籍しただけで、ID≒メールアドレス を知っている知人などに簡単にアカウントを乗っ取られてしまう恐れがあります。パスワードリセットコードも2要素認証のログインコードも音声通話で受け取れる上にロック状態のスマートフォンでも着信が可能だからです。また、音声通話やSMSの通信は、必ずしも安全な方式で暗号化されるとは限らないので、傍受されるケースもあります。
# 電話番号を登録していない場合にも、Android と連携しているアカウントの場合には、Android の設定画面 → Google → セキュリティ → ログイン → セキュリティコード に表示されるコードでパスワードリセットが可能ですが、この画面を表示するには端末のロックパスワードが必要です(画面ロックを解除している状態から操作してもパスワードや指紋/虹彩認証等が要求されます)。
ただし、下記のようないい加減なパスワード管理をしている場合は、2要素認証を有効にした方が一般に安全です。
なお、こういったサービスの場合、電話番号を登録しているが、2要素認証は有効にしていないという状態が最も危険です。
# 電話番号登録をすると、不審なアクティビティがあったときに通知を受けられるというメリットもある上、サービスによってパスワードリセットに必要な情報は異なるので、どっちの方が安全かはサービス・ユーザーのリテラシー・携帯電話の管理方法などによって異なります。また、最近では 環境によっては Google アカウント作成時に電話番号や携帯電話のメールアドレスを入力が必須になる場合もある [satopedia.com] ようです。
ちなみに、金融機関の2要素認証については、ほぼ全てのサービスで、パスワードリセットコードを音声通話やSMSで受け取ることが不可能(パスワードを忘れたら窓口に行ったり、書留郵便で再設定後の初期パスワードを受け取ったりする必要あり)な本当の意味での2要素認証なので、上述の問題は発生しません。
Re: (スコア:0)
電話番号登録せずに強いパスワードのほうが現実的ってことか。
でも「強いパスワード」ってなんだ?
Re: (スコア:0)
"aimstroooong"
#パロディウスだ!
Re: (スコア:0)
二要素認証の強みはアカウントハックを試みられた際に通知が来ることだと思う
誰かがログイン失敗したことを知らせてくれるだけでいいんだけどさ
Re: (スコア:0)
そんなん別に二要素認証である必要がないだろ。
その為の通知先指定と認証要素を兼ねさせる必然性がない。
Re: (スコア:0)
二要素認証でない必要もないな
簡易なパスワードに対する強度強化って役割もないこともないさ
一度決めたら、アカウントハックトライされるまでは変えないって指標にもなる
Re: (スコア:0)
日本語で書いてあるんだから読めよ。
2要素認証の2要素目(音声通話やSMS)だけで認証突破できてしまう偽物の2要素認証を実装しているWebサービスが多い
パスワードリセットコードも2要素認証のログインコードも音声通話で受け取れる上にロック状態のスマートフォンでも着信が可能だから
抜け道がないことが確認できないのなら2要素ではない必要はある。しかしハック通知だけなら2要素認証である必要はない。
抜け道があることが分かってるならハック通知のためだろうが何だろうが原則論としてNG。
Re: (スコア:0)
Twitterなら「パスワードを忘れた」ことにすれば、電子メールでパスワードリセットができます。
(電子メールも大抵はSMSか何かでリセットできます)
厳密には、二要素認証では「両方の認証に合格した場合にのみ許可し、一方だけの合格では許可しないし、
一方に合格したことすらログイン者に教えてはならない」のですが、パスワードを忘れる人が多数居る以上、
どうしようもないんでしょうね・・
Re: (スコア:0)
タレコミにある「共通線信号No.7(SS7)の脆弱性」とやらは、
SMSの内容を盗み見れる問題らしく、例えば、ワンタイムパスワードをSMSを経由して使用する場合に
利用できるそうです。
実際に、その脆弱性を使用して認証コードを盗み見た例はあるのですが、
Re:2要素認証 (スコア:2)
そのせいじゃないでしょうか。
ログイン認証を使用する方法 [twitter.com]
試していないので確実なことは分かりませんが、「通常のユーザー名とパスワードの組み合わせを使ってログインすることはできません」とあるので、普通のパスワードに加えて SMS で送信される仮パスワードが必要なのではなく、「仮パスワード」のみでログインできるように読み取れます。
普段2要素認証時に「パスワード」に加えて入力するコードは上記のヘルプページでは「6桁のログインコード」という言葉で表記しているようなので、「仮パスワード」は「普通のパスワード」の代わりになるものだと思われます。
レガシーアプリへの対応で脆弱になってる模様 (スコア:4, 参考になる)
ログイン認証を使用する方法 [twitter.com] の「twitter.comで一時的なパスワードを生成する方法」の部分も読んでみたところ、
とあるので、「普通のパスワード」+「6桁のログインコード」という2要素認証プロセスに対応していないレガシーアプリへの対応のための機能で、やはり「ユーザー名」+「生成された一時的なパスワード」のみでログインできてしまうようです。
「仮パスワード」は、SMS で送られるようなので、「共通線信号No.7(SS7)の脆弱性」などで SMS を盗み見ることが可能ならばアカウントの不正利用ができてしまいます。
Re: (スコア:0)
> 大概突破できます。
すみません。何言ってるか理解できません
最高サイバーセキュリティビジョナリー (スコア:1, オフトピック)
マカフィー氏ってどんな人なのかと思ってググったら
ただのオッサンやんけ
Re: (スコア:0)
ただのおっさんではない。バイオレンスな危ないおっさんだ
Re: (スコア:0)
世界三大低品質アンチウィルスがひとつMcAfee Antivirusを作った極悪人やぞ
Re: (スコア:0)
後の2つが何かを教えれ
Re: (スコア:0)
ウイルスバスターとノートンじゃね?
Re: (スコア:0)
それに比べてキングソフトよいよね
#振込待ってます
Re: (スコア:0)
残りはウイルスバスターとキングソフトインターネットセキュリティ
ノートンかキングソフトか微妙なラインだが、
キングソフトがキチガイクチャラーPM2.5な上にちょっと前にやらかしたステマ自爆でノートンの上を行った
恨み晴らさでおくべきか (スコア:0)
自身がハッカーの恨みを買って攻撃のターゲットになっているとも述べている。
いやー、Adobeその他を更新しようとするとさりげなくMcAfeeの無料ツールをインストールしようとしてくるのがあって、しかも気がつかずにインストールしちゃうと他社ウィルス対策ソフトの動作を阻害したりするんで、一般人からも結構恨まれてると思いますよ。
Re:恨み晴らさでおくべきか (スコア:2, 参考になる)
McAfee、前働いてた会社のクソ情シスがマカフィーのクソ営業に騙されて契約更改のタイミングで全社PCのアンチウィルスを入れ替えしたら、
クッソ重いシマンテックよりさらに重くなった上に開発部隊のVM環境に悪さするわ、
作業ディレクトリのソースコード誤検知してブロックするわでわずか2週間で出禁になったわ。
Re:恨み晴らさでおくべきか (スコア:2)
一年後にカスペに入れ替えたら三日強で終わった。
Re: (スコア:0)
マカフィーは随分前にマカフィーを辞めたんじゃなかったっけ?
Re: (スコア:0)
ジョン・マカフィー [wikipedia.org]
> 1994年に持株を売却して退職した
ってありますね。
# 随分とワイルドそうな顔してますね。
Re: (スコア:0)
Windows95より前ならほぼ無罪だよな。
Re: (スコア:0)
恨まれる程の活躍はしてないですよね
突破出来たらネタになるから狙われるってだけ
どういうこと? (スコア:0)
SMS送信のための電話回線自体が(経路のどこかで)盗聴されてるってこと?
Re: (スコア:0)
HackReadはその可能性を指摘しています。
共通線信号No.7は、電話だとかSMSだとかをやり取りするためのプロトコルらしいのですが、 [wikipedia.org]
脆弱性があり、通信内容を盗聴できるらしいです。 [blogspot.jp]
# HackReadの記事では、その脆弱性を利用して(SMSで送られた)認証コードを読み取りアカウントが乗っ取られる例を紹介しています [hackread.com]
2要素認証はユーザー名+パスワード+(SMSで送られる)認証コードが必