--.--.-- --:--|カテゴリ:スポンサー広告

スポンサーサイト


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
 

2012.08.08 07:00|カテゴリ:Security

Gizmodo乗っ取り事件続報 クラックされた人がクラックした人にインタビュー その驚くべき手口とは


 2回に渡り記事をお届けしたGizmodoのTwitterアカウント乗っ取り事件ですが、その詳細な経緯が明らかにされました。

How Apple and Amazon Security Flaws Led to My Epic Hacking | Gadget Lab | Wired.com



 なんと、前回の記事で登場したGizmodoのツイッターアカウントが乗っ取られたきっかけとなったHonan氏自らが、氏のアカウントをクラックしたクラッカーにDMやメール、AIMでインタビューを行ったとのこと。
 
 これにより、その手口の詳細が明らかとなりました。
 
 この手口、かなり複雑な手順を経ており、その中にはGoogleのGmail、Amazon、AppleのiCloudといった超有名どころのサービスがからんでいます。そして、恐ろしいことに、これらのサービスを利用している方にも同様のことが起こりえるのです。
 
 心して読んでいただきたいと思います。
 

1. Twitterのプロフィールの調査


 まず、クラッカーが行ったのは、Honan氏のTwitterアカウントのプロフィールの調査です。ここで、Honan氏個人のWebサイトへのリンクを見つけました。


2. WebサイトからGmailアドレスを入手


 次に、クラッカーはHonan氏のWebサイトから、Gmailのアドレスを入手しました。そして、このメールアドレスがTwitterに登録した際のメールアドレスだろうとあたりをつけます(事実そうでした)。


3. Gmailのアカウント回復機能を悪用


 Gmailには、「パスワードを忘れた」ユーザのために、パスワードを再設定する方法が用意されています。クラッカーはこれを悪用しました。
 
 まず、パスワードを忘れた - Gmail ヘルプにアクセスし、手順2で入手したGmailのアドレスを入力します。


 
 すると、そのメールアドレスのパスワードアシスタンス画面が表示されます。この画面では、予備のメールアドレスの一部が表示されます。


 
 今回の場合は、以下でした。
  m••••n@me.com
  
 お分かりでしょうか?「me.com」はiCloudのメールアドレスです。また、@マークより前の部分が、一部露出しています。この部分と、すでにわかっているGmailのアドレスから、iCloudのメールアドレスを類推したのです。(@マークより前はまったく同じだったので類推というほどでもありませんが。)


4. Appleの技術サポートに電話(1回目)


 ただし、これだけではもちろんGmailのパスワードを得ることはできません。再発行されたパスワードはiCloudのメールアドレスに送られます。
 
 そこで、クラッカーはAppleの技術サポートに電話をします。この辺りは前回の記事で少し触れています。

衝撃! GizmodoのTwitterアカウント乗っ取りの原因はAppleだった : I believe in technology
詳細は明らかにされていませんが、ブログでは本人確認に必要な「セキュリティの質問」をバイパスしたと書いてあります。 ...



 本人確認に必要な「セキュリティの質問」をバイパスしたということだったので、おそらく以下のようなやり取りをしたのでしょう。
 
 
 クラッカー
 「パスワードを忘れてしまいました。「セキュリティの質問(おそらくパスワードリマインダのこと)も忘れてしまったのですがどうしたらいいでしょう?」
 
 Appleの技術サポート
 「住所とクレジットカード番号の下4桁で本人確認が可能です」
 
 これで、入手すべき情報がわかりました。「住所」と「クレジットカード番号の下4桁」です。


5. 住所の入手


 まずは住所ですがこれは簡単です。Honan氏はWebサイトを独自ドメインで運営していました。そこで、クラッカーはwhoisで住所を調べたのです。

 独自ドメインを取得する際には、氏名、住所、メールアドレス、電話番号などの情報を登録する必要があります。そして、その情報はwhoisで確認する事が出来ます。これはドメイン取得者に連絡を取る際に利用されます。
 
 

6. クレジットカード番号の下4桁の入手〜Amazonへの電話(1回目)


 一見、もっとも難しそうに思えるであろうクレジットカード番号の下4桁の入手ですが、ちょっとした工夫をすることで、実は簡単に入手することができます。

 クラッカーが利用したのはAmazonです。まず、Amazonの技術サポートに電話をします。もちろん、技術サポートはクレジットカード番号を教えてはくれませんが、ここでクラッカーは、別のクレジットカード番号(偽物ですがそうとはバレないような番号です)を追加するように依頼します。
 
 この時、必要なのはアカウント、メールアドレスおよび住所だけです。すでにメールアドレスと住所は入手済みです。アカウントは本名など類推可能なものだったのでしょう。いずれにせよ、偽のクレジットカード番号の追加に成功したので、いったん電話を切ります。
 

7. クレジットカード番号の下4桁の入手〜Amazonへの電話(2回目)

  
 再度、Amazonの技術サポートに電話をします。そして、今度は「アカウントにアクセスできなくなった」と伝えます。そのような時のためにパスワードリセットの機能があるのですが、それを行うとAmazonに登録されているメールアドレスに新しいパスワードが送られてしまうので、「転職してメールアドレスが変わった」とかなんとか言って、登録されているメールアドレスを変更してもらいます。
 
 この変更は、先ほど追加したクレジットカード番号の下4桁があれば可能なんです。
 

8. クレジットカード番号の下4桁の入手〜Amazonのパスワードリセット

 
 次に、AmazonのWebサイトへ行き、パスワードをリセットします。新しいパスワードが先ほど変更したメールアドレスに届くので、これでAmazonのアカウントが乗っ取れました。これにより、クレジットカード番号の下4桁も入手できました。


9. Appleの技術サポートに電話(2回目)


 「住所」と「クレジットカード番号の下4桁」で本人確認を行い、iCloudのメールアドレスのパスワードを入手します。


10. iCloudにログインし、Gmailアカウントのパスワードを再設定


 ゲットしたiCloudのパスワードを使って、iCloudにログインします。そして、Gmail側で予備メールであるiCloudのメールアドレスにパスワード再設定リンクを送信します。
 
 

11. Gmailにログインし、Twittteアカウントのパスワードを再設定

 
 iCloudのメールアドレスに届いたパスワード再設定リンクを使い、Gmailのパスワードを再設定しGmailにログインします。そして、Twitter側でパスワードの再設定を行います。




12. Twittteアカウントのパスワードを変更

 
 最後に、Twittteアカウントのパスワードを変更し、乗っ取り完了です。


 いかがでしょう?
 
 Gmailのパスワード再設定機能、AppleやAmazonの技術サポートのゆるい本人確認をうまく組み合わせた、なかなか巧みな攻撃手法ですね。
 
 今回のケースでは、この一連の攻撃の流れのどこかでクラッカーがあきらめざるを得ない状況になれば防げました。Honan氏の設定やメールアドレスの取得方法、各サービスの利用方法を工夫すれば防げたはずですが、AppleやAmazonの本人確認には問題がありますね。
 
 Honan氏はAppleとAmazonに今回の件を連絡をしているようですが、今のところ適切な回答は得られていないようです。
 
 今回の攻撃パターンが、うまく当てはまってしまうような使い方をしている方もいらっしゃるかと思います。
 
 この攻撃の流れをよく読んで、どこを対策すべきか、一度考えてみてください。





 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。