またあの手口か…。
米国でプログラマーとして働く廣島直己さんは、@Nという超シンプルなTwitterアカウントを持っていました。5万ドル(約512万円)で買い取るというオファーを受けたこともありますが、売り渡しませんでした。まあ、お金じゃ買えない価値がありますよね。
でも、それなら腕づくで、とばかりにアカウントを盗み取ろうとする輩が現れました。そこにPayPalやらドメイン管理会社のGoDaddyやらの失態が重なって、結局大事なアカウントが盗まれてしまいました。
どこから盗まれたかって、盗人が廣島さんにいけしゃあしゃあと送ったメールによると、こういうことだそうです。
PayPalに電話して、ごくシンプルなエンジニアリング手法でカードの下4桁を入手したんだ。(これがいやならPayPalに電話して、電話では詳細情報を公開しないようにアカウント情報の備考に追加してもらうといい。)
GoDaddyに電話して、「カードを失くしたけど下4桁なら覚えてる」と言った。するとサポセンの人が、一定の数字の範囲(今回は00~09)から(訳注:カードの上2桁の)正しい数字を当てさせてくれた。GoDaddyのアカウントのセキュリティを改善する方法は知らないが、もっとセキュアなドメイン管理会社がよければ、NameCheapかeNomをお勧めする。 こうしてまんまとGoDaddyのアカウントが乗っ取られ、廣島さんが独自ドメインで使ってたメールとか他のWebサイトとかも全部盗人のコントロール下になってしまったんです。盗人がそれを盾に廣島さんに交渉のメールを送りつけてきて、彼はあきらめざるをえませんでした。
廣島さんはこの経験から、いろんなWebサービスのログイン用メールアドレスに独自ドメインを使わないこと、そしてPayPalやGoDaddyといった会社にクレジットカード情報を預けないことを勧めています。さらに二段階認証を使うこと、独自ドメインを使っている人ならMXレコードのTTL(DNS情報をキャッシュする時間の長さ)を長めに設定することも。ただ、そもそも「電話で聞き出される」っていう人的な抜け穴が使われちゃってるので、こういう対策も万能とは言えません。2012年に米Gizmodoとか記者のアカウントが乗っ取られたときもソーシャル・エンジニアリングが原因でしたが、いまだに抜け穴のままなんですね…。
ちなみにこの顛末は英語で書かれてたんですが、全文和訳されてる方がいたのでこちらにリンクさせていただきますね。ありがとうございます。
miho(米版 Naoki Hiroshima)
■あわせて読みたい
・締切間近! もし「WONDA×AKBコラボの非売品ライブ」がこんな感じだったらと、僕なりに何日か考えた上でのやや気恥ずかしい結論のようなもの
・航空整備士の仕事術〜JALの新シート設置がこんなにも効率的なワケ
・次の確定申告はもう始まっている。「やよいの白色申告オンライン」を今から使っておくべき理由