またあの手口か…。
米国でプログラマーとして働く廣島直己さんは、@Nという超シンプルなTwitterアカウントを持っていました。5万ドル(約512万円)で買い取るというオファーを受けたこともありますが、売り渡しませんでした。まあ、お金じゃ買えない価値がありますよね。
でも、それなら腕づくで、とばかりにアカウントを盗み取ろうとする輩が現れました。そこにPayPalやらドメイン管理会社のGoDaddyやらの失態が重なって、結局大事なアカウントが盗まれてしまいました。
どこから盗まれたかって、盗人が廣島さんにいけしゃあしゃあと送ったメールによると、こういうことだそうです。
- PayPalに電話して、ごくシンプルなエンジニアリング手法でカードの下4桁を入手したんだ。(これがいやならPayPalに電話して、電話では詳細情報を公開しないようにアカウント情報の備考に追加してもらうといい。)
- GoDaddyに電話して、「カードを失くしたけど下4桁なら覚えてる」と言った。するとサポセンの人が、一定の数字の範囲(今回は00~09)から(訳注:カードの上2桁の)正しい数字を当てさせてくれた。GoDaddyのアカウントのセキュリティを改善する方法は知らないが、もっとセキュアなドメイン管理会社がよければ、NameCheapかeNomをお勧めする。
こうしてまんまとGoDaddyのアカウントが乗っ取られ、廣島さんが独自ドメインで使ってたメールとか他のWebサイトとかも全部盗人のコントロール下になってしまったんです。盗人がそれを盾に廣島さんに交渉のメールを送りつけてきて、彼はあきらめざるをえませんでした。
廣島さんはこの経験から、いろんなWebサービスのログイン用メールアドレスに独自ドメインを使わないこと、そしてPayPalやGoDaddyといった会社にクレジットカード情報を預けないことを勧めています。さらに二段階認証を使うこと、独自ドメインを使っている人ならMXレコードのTTL(DNS情報をキャッシュする時間の長さ)を長めに設定することも。ただ、そもそも「電話で聞き出される」っていう人的な抜け穴が使われちゃってるので、こういう対策も万能とは言えません。2012年に米Gizmodoとか記者のアカウントが乗っ取られたときもソーシャル・エンジニアリングが原因でしたが、いまだに抜け穴のままなんですね…。
ちなみにこの顛末は英語で書かれてたんですが、全文和訳されてる方がいたのでこちらにリンクさせていただきますね。ありがとうございます。
追記:1月31日13:00PayPalがこの件に関して、自社のブログでコメントを発表しました。ブログでは、PayPalが行った社内調査に基いて事件に関する4点を明らかにしています。以下にブログからの抜粋と編集部の翻訳を掲載します。
- We have carefully reviewed our records and can confirm that there was a failed attempt made to gain this customer’s information by contacting PayPal.
- PayPal did not divulge any credit card details related to this account.
- PayPal did not divulge any personal or financial information related to this account.
- This individual's PayPal account was not compromised.
編集部翻訳
- 該当するアカウントの個人情報を取得しようとした記録が残っていた
- PayPalはクレジットカード情報を提供していない
- PayPalは個人情報および決済情報を提供していない
- 該当するアカウントは危険に晒されてはいなかった
またブログでは、該当するアカウントの持ち主をサポートするためにコンタクトを取っているとも記されています。全文(英語)はこちらをご覧ください。
miho(米版 Naoki Hiroshima)
