• ホーム
  • World
  • 約500万円のTwitterユーザー名「@N」が盗まれる その驚きの手口とは?

    • 約500万円のTwitterユーザー名「@N」が盗まれる その驚きの手口とは?

     Twitterにおいて、名前とは別に、@に続いて表示される英数字がユーザー名である。早い者勝ちなので、短くて覚えやすいユーザー名を手に入れるのは至難の業だ。

     中でも究極と言えるのは、1文字だけのユーザー名である。Twitterクライアント「Echofon」の開発者として知られる、アメリカ在住の廣島直己氏は、「@N」という1文字のユーザー名を使用していた。5万ドル(約510万円)でそれを譲ってほしい、というオファーを受けたこともあるという。また、アカウントを乗っ取ろうと、ハッキングを仕掛けられることもたびたびだったという。

     その「@N」が、とうとう奪われてしまった。そのいきさつを、廣島氏本人が、犯人との直接のメールのやりとりを含め、克明に記している。その記事が、技術系情報サイト「ネクストウェブ」に掲載された。

    【ドメイン名が乗っ取られた!】
     廣島氏は、Googleの企業向けクラウドサービスGoogle Appsを自分の会社で利用するため、独自ドメイン名を取得していた。そのとき契約を結んだのが、GoDaddyという、世界最大手のドメイン名登録業者(レジストラ)だ。

     ところが、ある日、そのドメイン名が乗っ取られてしまった。そのことを、氏は、登録情報の変更を通知するメールで知った。氏はただちにGoDaddyに電話し、その変更はなりすましで、無効であると伝えようとしたが、うまくいかなかった。GoDaddyは、登録してあるクレジットカードの番号、下6桁を聞くことで、電話の相手がドメイン名の所有者本人であることを確認しようとした。ところが、あいにく、カード番号も含めて、登録してある情報はみな犯人によって書き換えられてしまっていたのだ。氏はその後も交渉を試みたが、GoDaddyからの回答は、正式な法的手続きなどを踏んで、異議を申し立ててほしい、というものだった。

    【メールもFacebookも乗っ取られた!】
     ドメイン名を乗っ取られたことで、氏は、Google Appsで利用しているメールアカウントも乗っ取られてしまった。そこからさらに、そのメールを介して、Facebookなどのパスワードも変更されてしまった。多くのウェブサービスで、パスワードを忘れてしまっても、メールの通知に従って新パスワードを設定することが可能だ。この機能が悪用された。

    【犯人からのゆすり】
     手詰まりになっていたそのとき、犯人から氏に、直接、メールが送られてきた。それは、氏の「@N」のユーザー名を譲り渡すことを要求するものだった。さもなくば、GoDaddyに登録されているドメイン名を失効させ、そのドメイン名に登録されているウェブサイトのデータも破壊する、という脅しだった。氏は、被害の大きさを考え、やむなくその要求を受け入れた。

     たくらみの成功に気を良くしたのか、犯人は、氏に、どうやってドメイン名を盗んだか、その詳細を教えよう、と言ってきた。その経緯は、驚くべきものだった。

    【油断こそがセキュリティホール】
     まず、犯人はPayPalに、従業員を装って電話をかけ、氏のクレジットカードの番号、下4桁を聞き出した、という。次に、GoDaddyに電話して、クレジットカードをなくしてしまったが、下4桁は覚えている、と言った。GoDaddyの担当者は、本人確認に必要なのは下6桁なので、断るかと思いきや、残りの2桁を「当てる」ことを犯人に許した、というのだ。それも、正しい番号になるまで試すことを犯人に許した、というのだから驚きだ。

     これが事実だとすれば、技術的なハッキング方法は用いられておらず、人の心の油断につけ込むことで、情報が盗まれたことになる。このような手口は、ソーシャル・エンジニアリングと呼ばれる。

     犯人はその上、氏に、今後どうすれば同様の被害に合わないか、レクチャーまでしたそうである。

     PayPalは、Twitterの公式アカウントで、調査の結果、同社がクレジットカード情報を漏らした事実はない、とする声明を発表した。

    【ネットユーザーの反応は】
     氏は、PayPalとGoDaddyのずさんなセキュリティ管理に、非常な憤りを示している。記事を読んだネットユーザーからは、さまざまな反応が寄せられている。

    (オンライン・ゲーム情報誌「エスカピスト」)
    ・この件が大きくなって、PayPalがぱっくり開いたセキュリティホールに気づいて、それをふさぐようになってくれるといい。PayPalは便利だし、自分はこれからも使い続けるつもりだから。

    (「ネクストウェブ」)
    ・この筆者はまったく金には困っていないようだね、5万ドルの申し出を断ったなんて。
    ・いったいなんだって、5万ドルで売ろうとしなかったんだ?

    ・こういう人間と交渉しちゃいけない。他にもっといい解決策なかったのかね、こんな奴の言いなりになるほかに。この記事を読んで、すごくフラストレーションが溜まったよ。

    ・これ、映画化したらすごい映画になるぞ。ハリウッドに売り込むんだ!

    ソーシャルメディア絶対安全マニュアル トラブルにまきこまれないFacebook、Twitter、LINEの使い方

    Text by NewSphere 編集部

    外部サイト参考記事

    Pick up