なんの落ち度がなくてもSNSアカウントを強奪される!?　さらに求められるITリテラシー

Naoki Hiroshima (N) on Twitter

　1月20日、ある日本人のTwitterアカウントが強奪された。とはいえ、ぬるいパスワードを使っていて不正アクセスされたのではない。犯人はさまざまなソーシャルハッキング手法を使い、脅迫して奪取したのだ。その手口の巧妙さは感心するほど。

　被害に遭ったのは、Twitterアプリなどを開発しているNaoki Hiroshima氏。当然、ITリテラシーは高く、英語も堪能だ。それなのに被害に遭ってしまった経緯は「My $50,000 Twitter Username Was Stolen Thanks to PayPal and GoDaddy」（私の5万ドルの価値のあるTwitterユーザー名が盗まれた。PayPalとGoDaddy、ありがとう）というブログエントリーで書かれている。とはいえ、英語な上、難しい内容なので、カンタンに紹介しよう。

　Hiroshima氏は、「＠N」という、とても珍しいTwitterアカウントを所有している。アカウント名は早い者勝ちなので、いち早く獲得したおかげだ。当然、垂涎の的となり、普段から攻撃を受けたり、勝手にパスワードをリセットしようとしたりされている。中には、5万ドルでオファーが来ることもあるという。Hiroshima氏にとっては日常の光景なので、慣れたもの。すべてスルーしていた。

　しかし、1月20日は様子が違った。ランチ中にオンライン決済サービス「PayPal」から、パスワード再発行のメッセージが届く。また、誰かが不正アクセスしようとしているようだが、パスワードがわからなければ被害もない、と放置した。その後、レジストラの「GoDaddy」から「Account Settings Change Confirmation（アカウント設定の変更確認）」というメールが届く。レジストラとは、＠xxxx.comのようなドメインを管理するサービス。Hiroshima氏は独自ドメインを取得し、メールやホームページの運用にGoogle Appsを利用しているのだ。

　当然、変更した覚えはないので、GoDaddyにログインを試みると、すでに不正アクセス者にパスワードを変更されてしまっている。電話をして対処しようとすると、GoDaddyはクレジットカードの下6桁を尋ねる。しかし、その情報も書き換えられており、本人確認ができず。身分証明書によって本人確認をするように手配すると、確認に48時間かかると言われてしまう。

　多くのウェブサービスは、本人確認やパスワードリセットにメールを利用する。メールで利用している独自ドメインを奪取されてしまったので、これらのリセットが可能になったのだ。しかし、ここで犯人がミスをする。ドメインの設定を変更しても、新しい設定でメールを受信するには少し時間がかかるのだ。そのため、いつも使っているメールに、Twitterのリセットメールが届く。Hiroshima氏は犯人の思惑に気がつき、Twitterに登録しているメールアドレスを変更する。その間、犯人はTwitterのサポートページに「パスワードのメールが届かないので、手動で送ってくれ」とあつかましくも投稿した。しかしこれは、Twitter側がさらなる情報を求めたために失敗に終わる。