ハッカーはいかにして2段階認証を突破するのか?

ハッカーはいかにして2段階認証を突破するのか? 1

システムを過信してはいけませんね...。

2段階認証とはログインする際にパスワードだけでなく別の認証コードも入力させる機能で、アカウントの安全性を強化する方法として使われています。しかし、Grant Blakemanさんはこの2段階認証を使っていたにも関わらず、Gmailのアカウントを通してInstagramのアカウントをハックされてしまいました。BlakemanさんはEllo(SNS)に、いかにしてハッカーがInstagramのアカウントを乗っ取ったかを書いています。

彼はホワイトハッカーであるMat Honanさんから、携帯電話のプロバイダに確認を取るようにアドバイスを受けました。そして、彼の電話番号が違う電話番号に転送されていたことが判明しました。

実際に最初に攻撃されたのは私の携帯電話のプロバイダでした。そこから私のGmailアカウントに対するアクセス権限を得たのか、ソーシャルエンジニアリングを行ったのか、ハッカーはInstagramのパスワードをリセットすることに成功したのです。そうしてInstagramのアカウントが乗っ取られました。

Blakemanさんの話がHacker Newsに投稿されてから、プロバイダに所属しているという人が次のようにコメントをしています。

顧客の満足度とセキュリティやプライバシの両立は難しい問題です。本当のお客様を不快にさせることなく、違法にアカウントを乗っ取ろうとしている人から個人情報を守るにはどうしたらいいのでしょうか?

幸いにも、Blakemanさんはアカウントを復元することができました。でも、私たちも気をつけないといけないですね。完全なシステムはないということを忘れてはいけません。

source: Hacker News

Kelsey Campbell-Dollaghan - Gizmodo US[原文

(谷垣友喜)