サイトアイコン ガジェット2ch

約500万円のTwitterユーザー名「@N」が盗まれる…その驚きの手口とは?


どんな手口なの?
1: ( ´`ω´) ◆ChahooS3X2 @ちゃふーφ ★ 2014/02/01(土) 14:53:34.53 ID:???0
★ 約500万円のTwitterユーザー名「@N」が盗まれる その驚きの手口とは?

 Twitterにおいて、名前とは別に、@に続いて表示される英数字がユーザー名である。早い者勝ちなので、短くて覚えやすいユーザー名を手に入れるのは至難の業だ。

 中でも究極と言えるのは、1文字だけのユーザー名である。Twitterクライアント「Echofon」の開発者として知られる、アメリカ在住の廣島直己氏は、「@N」という1文字のユーザー名を使用していた。5万ドル(約510万円)でそれを譲ってほしい、というオファーを受けたこともあるという。また、アカウントを乗っ取ろうと、ハッキングを仕掛けられることもたびたびだったという。

 その「@N」が、とうとう奪われてしまった。そのいきさつを、廣島氏本人が、犯人との直接のメールのやりとりを含め、克明に記している。その記事が、技術系情報サイト「ネクストウェブ」に掲載された。

【ドメイン名が乗っ取られた!】
 廣島氏は、Googleの企業向けクラウドサービスGoogle Appsを自分の会社で利用するため、独自ドメイン名を取得していた。そのとき契約を結んだのが、GoDaddyという、世界最大手のドメイン名登録業者(レジストラ)だ。

 ところが、ある日、そのドメイン名が乗っ取られてしまった。そのことを、氏は、登録情報の変更を通知するメールで知った。氏はただちにGoDaddyに電話し、その変更はなりすましで、無効であると伝えようとしたが、うまくいかなかった。GoDaddyは、登録してあるクレジットカードの番号、下6桁を聞くことで、電話の相手がドメイン名の所有者本人であることを確認しようとした。ところが、あいにく、カード番号も含めて、登録してある情報はみな犯人によって書き換えられてしまっていたのだ。氏はその後も交渉を試みたが、GoDaddyからの回答は、正式な法的手続きなどを踏んで、異議を申し立ててほしい、というものだった。

【メールもFacebookも乗っ取られた!】
 ドメイン名を乗っ取られたことで、氏は、Google Appsで利用しているメールアカウントも乗っ取られてしまった。そこからさらに、そのメールを介して、Facebookなどのパスワードも変更されてしまった。(>>2へ続く)

NewSphere http://newsphere.jp/world-report/20140131-2/

2: ( ´`ω´) ◆ChahooS3X2 @ちゃふーφ ★ 2014/02/01(土) 14:53:44.32 ID:???0
多くのウェブサービスで、パスワードを忘れてしまっても、メールの通知に従って新パスワードを設定することが可能だ。この機能が悪用された。

【犯人からのゆすり】
 手詰まりになっていたそのとき、犯人から氏に、直接、メールが送られてきた。それは、氏の「@N」のユーザー名を譲り渡すことを要求するものだった。さもなくば、GoDaddyに登録されているドメイン名を失効させ、そのドメイン名に登録されているウェブサイトのデータも破壊する、という脅しだった。氏は、被害の大きさを考え、やむなくその要求を受け入れた。

 たくらみの成功に気を良くしたのか、犯人は、氏に、どうやってドメイン名を盗んだか、その詳細を教えよう、と言ってきた。その経緯は、驚くべきものだった。

【油断こそがセキュリティホール】
 まず、犯人はPayPalに、従業員を装って電話をかけ、氏のクレジットカードの番号、下4桁を聞き出した、という。次に、GoDaddyに電話して、クレジットカードをなくしてしまったが、下4桁は覚えている、と言った。GoDaddyの担当者は、本人確認に必要なのは下6桁なので、断るかと思いきや、残りの2桁を「当てる」ことを犯人に許した、というのだ。それも、正しい番号になるまで試すことを犯人に許した、というのだから驚きだ。

 これが事実だとすれば、技術的なハッキング方法は用いられておらず、人の心の油断につけ込むことで、情報が盗まれたことになる。このような手口は、ソーシャル・エンジニアリングと呼ばれる。

 犯人はその上、氏に、今後どうすれば同様の被害に合わないか、レクチャーまでしたそうである。

 PayPalは、Twitterの公式アカウントで、調査の結果、同社がクレジットカード情報を漏らした
事実はない、とする声明を発表した。(以下略)

NewSphere http://newsphere.jp/world-report/20140131-2/

7: 名無しさん@13周年 2014/02/01(土) 15:00:08.26 ID:J3L9XM130
>>2
一番恐いのはヒューマンエラーか
面白い話だ、気をつけよ

3: 名無しさん@13周年 2014/02/01(土) 14:55:35.17 ID:wS13HNPp0
5万ドルで売っておけばよかったね

5: 名無しさん@13周年 2014/02/01(土) 14:58:51.89 ID:WBIJaWML0
ネタバレしてくれるなんて、なんて丁寧な犯人だよ、長文なのに最後まで読んでしまったw

6: 名無しさん@13周年 2014/02/01(土) 14:58:59.58 ID:cON0gaD10
↓今夜twitterのアカ作りまくるやつが一言

8: ひでよし ◆bmzFe7ein6 2014/02/01(土) 15:02:16.30 ID:w5LNGYnK0
クレジットカードがないオレは情報強者

9: 名無しさん@13周年 2014/02/01(土) 15:02:44.05 ID:DzMKvUrtP
PayPalのデスクはシンガポールのシナ人だから良く分かるわwww
本当舐めてるからなw

10: 名無しさん@13周年 2014/02/01(土) 15:02:47.93 ID:JsUPyCQM0
最近Paypalのポリシー更新がちょこちょこあったのはそれかな

12: 名無しさん@13周年 2014/02/01(土) 15:07:09.70 ID:CrO7AA2+0
この手口って数年前話題になってその時対策されてなかったっけ?

14: 名無しさん@13周年 2014/02/01(土) 15:13:04.40 ID:hTqHVBbc0
そこまでして、手に入れたいものなのかね。

15: 名無しさん@13周年 2014/02/01(土) 15:25:02.93 ID:3BmTGChE0
で、これ、造った話じゃないの?

16: 名無しさん@13周年 2014/02/01(土) 15:25:08.43 ID:M723tyrS0
情報を書き換えられたとしてもログとか残ってるんじゃないのか?

34: 名無しさん@13周年 2014/02/01(土) 19:16:45.39 ID:hkv024z10
>>16
だから、正式な裁判手続をふんでくれって言ってるんだろ。
そしたら開示する。

21: 名無しさん@13周年 2014/02/01(土) 16:16:47.71 ID:/5I82CJf0
いま、@N使ってるやつが犯人じゃんw
犯人は何がしたいねん?

22: 名無しさん@13周年 2014/02/01(土) 16:18:58.27 ID:/5I82CJf0
あ、売っちゃった可能性もあるんか。
犯人はゴルァされないの?

24: 名無しさん@13周年 2014/02/01(土) 16:22:47.73 ID:GSYM1jtI0
悪いのはレジストラだな
スパム業者にホイホイドメイン与えるレジストラは投獄されるべき

25: 名無しさん@13周年 2014/02/01(土) 16:26:20.40 ID:Jsu50pre0
これ事実ならペイパルがやらかしてるじゃん

35: 名無しさん@13周年 2014/02/01(土) 19:38:12.09 ID:tebEnUSM0
アカウント乗っ取った人が犯人なのだからどうにでもなるんじゃないの?
転売されるの?

引用元: http://uni.2ch.net/test/read.cgi/newsplus/1391234014/


初音ミク -Project DIVA- F 2nd (初回特典 とどけ、ひびけコード同梱)予約特典 どこでもランドリーバッグ付
PlayStation Vita

セガ 2014-03-27
売り上げランキング : 23

Amazonで詳しく見る
モバイルバージョンを終了