トップページへ
日刊サイゾー|エンタメ・お笑い・ドラマ・社会の最新ニュース
  • facebook
  • x
  • feed
日刊サイゾー トップ > 連載・コラム  > なんの落ち度がなくてもSNSアカウントを強奪される!? さらに求められるITリテラシー
ITライター柳谷智宣の「賢いネットの歩き方」第37回

なんの落ち度がなくてもSNSアカウントを強奪される!? さらに求められるITリテラシー

@n.jpgNaoki Hiroshima (N) on Twitter

 1月20日、ある日本人のTwitterアカウントが強奪された。とはいえ、ぬるいパスワードを使っていて不正アクセスされたのではない。犯人はさまざまなソーシャルハッキング手法を使い、脅迫して奪取したのだ。その手口の巧妙さは感心するほど。

 被害に遭ったのは、Twitterアプリなどを開発しているNaoki Hiroshima氏。当然、ITリテラシーは高く、英語も堪能だ。それなのに被害に遭ってしまった経緯は「My $50,000 Twitter Username Was Stolen Thanks to PayPal and GoDaddy」(私の5万ドルの価値のあるTwitterユーザー名が盗まれた。PayPalとGoDaddy、ありがとう)というブログエントリーで書かれている。とはいえ、英語な上、難しい内容なので、カンタンに紹介しよう。

 Hiroshima氏は、「@N」という、とても珍しいTwitterアカウントを所有している。アカウント名は早い者勝ちなので、いち早く獲得したおかげだ。当然、垂涎の的となり、普段から攻撃を受けたり、勝手にパスワードをリセットしようとしたりされている。中には、5万ドルでオファーが来ることもあるという。Hiroshima氏にとっては日常の光景なので、慣れたもの。すべてスルーしていた。

 しかし、1月20日は様子が違った。ランチ中にオンライン決済サービス「PayPal」から、パスワード再発行のメッセージが届く。また、誰かが不正アクセスしようとしているようだが、パスワードがわからなければ被害もない、と放置した。その後、レジストラの「GoDaddy」から「Account Settings Change Confirmation(アカウント設定の変更確認)」というメールが届く。レジストラとは、@xxxx.comのようなドメインを管理するサービス。Hiroshima氏は独自ドメインを取得し、メールやホームページの運用にGoogle Appsを利用しているのだ。

 当然、変更した覚えはないので、GoDaddyにログインを試みると、すでに不正アクセス者にパスワードを変更されてしまっている。電話をして対処しようとすると、GoDaddyはクレジットカードの下6桁を尋ねる。しかし、その情報も書き換えられており、本人確認ができず。身分証明書によって本人確認をするように手配すると、確認に48時間かかると言われてしまう。

 多くのウェブサービスは、本人確認やパスワードリセットにメールを利用する。メールで利用している独自ドメインを奪取されてしまったので、これらのリセットが可能になったのだ。しかし、ここで犯人がミスをする。ドメインの設定を変更しても、新しい設定でメールを受信するには少し時間がかかるのだ。そのため、いつも使っているメールに、Twitterのリセットメールが届く。Hiroshima氏は犯人の思惑に気がつき、Twitterに登録しているメールアドレスを変更する。その間、犯人はTwitterのサポートページに「パスワードのメールが届かないので、手動で送ってくれ」とあつかましくも投稿した。しかしこれは、Twitter側がさらなる情報を求めたために失敗に終わる。

12
ページ上部へ戻る

配給映画