パスワードを忘れた? アカウント作成
13993487 story
Twitter

Twitter、CEOのアカウントが再びハックされる 20

ストーリー by headless
投稿 部門より

Twitter CEO ジャック・ドーシー氏のTwitterアカウントが8月31日4時44分ごろから少なくとも15分にわたってハックされ、攻撃者が多数のツイート・リツイートを投稿した(Twitter CommsのツイートThe Vergeの記事[1][2]Windows Centralの記事)。

ドーシー氏のTwitterアカウントは2016年にもハックされている。2016年の攻撃はOutMineによるもので、ドーシー氏のVineアカウントを乗っ取ってTwitterへの投稿が行われた。今回の攻撃はSMSを使用して携帯電話からTwitterに投稿する機能にSIMスワッピングを組み合わせたものだという。

SMSによるTwitter投稿は日本ではサポートされていないが、Twitterでは専用のショートコード宛にSMSを送信することで、携帯電話の電話番号と結びつけられたTwitterアカウントに投稿できる。SIMスワッピングとは本人に成りすまして携帯電話キャリアをだまし、新しいSIMカードへ携帯電話番号を移動するというものだ。Twitterでは今回の件について、携帯電話キャリアのミスだと説明している。

攻撃者は最近ソーシャルメディアの有名人のTwitterアカウントを次々にハックしているChucklingSquadなどと名乗るグループとみられている。Internet Archiveのスナップショットによると、ドーシー氏のTwitterアカウントには日本時間8月31日4時44分以降15分間にわたり、攻撃者が立て続けにツイート・リツイートを投稿している。すべて確認したわけではないが、リツイートされた元の投稿者はアカウント停止になっているようだ。

  • by Anonymous Coward on 2019年09月01日 13時52分 (#3678426)

    crackだよ!

    ってのはもう言わなくなっちゃったの?

    ここに返信
  • by Anonymous Coward on 2019年09月01日 14時16分 (#3678432)

    CEOが乗っ取られるなら、大統領のアカウントが乗っ取られても不思議はないよね。

    ここに返信
  • by Anonymous Coward on 2019年09月01日 14時20分 (#3678433)

    前々から思っていたが携帯電話の電話番号などというものを、さも永久不変の情報通信手段であるかのように二段階認証に使うってどうなんだ?
    あんなもの盗難や紛失でも容易く変わるってのに二段階認証に使うの止めて欲しいわ。
    「盗難や紛失にあって番号変わりました」ですぐ発行してたら秘密の質問系より攻撃難易度低いだろ。
    ひとつの電話番号から複数のアカウントを攻略できないってだけで。
    逆にいうと一人で複数のアカウント持ってる奴が電話番号変える前に二段階認証されたら、それを説明してリセットして貰うの大変だぞ。

    ここに返信
    • by Anonymous Coward

      あきらめて一段階認証に戻しましょう。
      パスフレーズ管理がうまくできるなら、問題ない。

      でも、ほとんどの人はパスワードを使いまわすし、簡単なパスワードを使うから、二段階認証の方がましってだけ。

      • by Anonymous Coward

        簡単じゃない十分な強度のパスワードって、長すぎるしな。
        パスワード強度はO(桁数2)だから、8桁10桁程度じゃ記号を入れても無駄って散々言われてるし。

        • by Anonymous Coward

          > パスワード強度はO(桁数2)だから

          どういう計算ですか?

    • by Anonymous Coward

      今回のやつとは関係ないけど、物は盗難や紛失したらわかるじゃん。
      パスワードは漏洩してもわからない。

    • by Anonymous Coward

      ユーザ保護が目的なのではなく、不正利用の防止(一人で大量にアカウントを作って不正行為)が目的と理解していたが。

      ユーザ保護が目的ならgoogleアカウントみたいにアプリで発行させるはず。

    • by Anonymous Coward

      盗難や紛失でも番号変わらんやろ。
      普通にSIM再発行や。

    • by Anonymous Coward

      そんな雑な確認ですぐ発行してくれるところってどこ?
      ていうかもうちょっとマシな日本語かけないのか。
      すぐ発行するのか、リセット大変なのかどっちだよ。

  • >ドーシー氏のTwitterアカウントには日本時間8月31日4時44分以降15分間にわたり、攻撃者が立て続けにツイート・リツイートを投稿している。
    >すべて確認したわけではないが、リツイートされた元の投稿者はアカウント停止になっているようだ。

    なにそれこわい
    乗っ取られたアカウントにリツイートされると、されたアカウントは停止させられるの?
    スパム系のリツイートだったのならそれでいいんだけど、普通のアカウントの普通のツイートのリツイートでも停止させられるの?

    ここに返信
    • Internet Archiveのスナップショットを見るとわかりますが、リツイートされたのはそれ自体がアカウント停止につながりそうな内容の投稿です。たぶん今回の攻撃に連携した仲間のアカウント、もしくは同様にハックされたアカウントからの投稿とみられます。

    • by Anonymous Coward

      リツートは犯罪予告のコピペやってるのと同じで元投稿者と同じようなペナルティ喰らわないと思ってる方がおかしい

      • by Anonymous Coward

        犯罪者をリツイートしないように気をつけることはできるが、
        犯罪者にリツイートされないようにするのは難しいな。

      • by Anonymous Coward

        こういうおっちょこちょいコメントをしないようプレビュー機能があるのに

  • by Anonymous Coward on 2019年09月03日 1時37分 (#3679069)

    フリーメールでTwitterアカウント作れば良くね?Twitterもフリーアプリなんだし。LINEと違って不特定多数と意見交換できるアプリなのに何で個人を特定できる電話番号とTwitterアカウントを関連つけたんだろね?

    ここに返信
    • by Anonymous Coward

      電話番号を紐付けないとデベロッパー登録ができない。それと、電話番号なしだとすぐアカウントがロックされるよ

typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...