最近、フォーブス誌からアムネスティ・インターナショナル、スターバックス・アルゼンチンに至るまで、数百ものアカウントがトルコ語でスワスティカ(卍)やスローガンを吐き出し、オランダを「ナチス・オランダ」とレッテルを貼った。このプロパガンダは、トルコ大統領の権限拡大を問う国民投票を前にした論争、そしてオランダ在住のトルコ人による集会でトルコ当局が演説することをオランダが拒否したことに端を発している。
政治的な問題はさておき、アカウント乗っ取りは、多くの人が実際に被害に遭うまで存在を忘れているある弱点、つまりソーシャルネットワークやその他のプラットフォームにおけるサードパーティアプリの権限設定によって行われました。こうした連携機能は、プラットフォームを標榜する多くのサービスが持つ強みの一つです。開発者は、サービスのAPIと通信し、許可したユーザーから情報を読み取るソフトウェアを開発できます。しかし、より深刻なのは、これらのサードパーティアプリがユーザーに代わって投稿したり、メッセージを削除したり、その他の行動をとったりできることです。
この事件の責任者はTwitter Counterでした。同社のサーバーがハッキングされ、認証情報が盗まれました。
こうした侵入は、二要素認証を有効にしているユーザーにも影響を及ぼします。なぜなら、サードパーティ製アプリの承認はログイン中に行われ、Twitterのパスワードが開示されないためです。そのため、Twitterは正当なユーザーがコンジットを承認したと想定し、利用トークンをサードパーティに渡します。サードパーティはそれを保管します。これらのトークンは一括で取り消され、アプリケーションがブロックされる可能性があり、これはハッキング発覚後にTwitterが実際に行ったことです。
2 要素認証 (2FA) は依然として重要であり、少人数以上のフォロワー、いいね、または乗っ取りのターゲットとなる可能性のあるその他の指標を獲得しているアカウントに対してソーシャル メディア ネットワークが強制する要件にする必要があると考えられます。
イスラム教徒の差別について声高に訴えているTwitterの友人が、同じ頃、Twitterからパスワード入力の試みに関するメッセージを受け取ったものの、2段階認証を有効にしていたため、試みは無駄だったと報告していました。別の友人は、Apple IDがロックされたというフィッシングまがいのメッセージを受け取り、実際にはアカウントにアクセスできない状態だったことがわかりました。彼女はアクセスを回復しましたが、私の疑念は、フィッシング詐欺師がAppleに不正なパスワードを大量に送信して彼女のアカウントを強制的にロックダウン状態にし、その後詐欺を働こうとしたのではないかということです。彼女も2段階認証を有効にしています。
サービスによっては、一度接続を承認すれば、再確認は不要です。TwitterでWebアプリを使用しようとすると、定期的に再ログインを求められる可能性がありますが、Webインターフェースを使用しない場合は、接続はアクティブなままなので、承認する必要はありません。Tweetbotなどのネイティブアプリや、macOSやiOSなどのシステム統合アプリでは、再ログインは求められません。必要な場合、ユーザーの介入なしにトークンの更新を要求し、受け取ります。
チェックすべき隅々まで
1 年前に Facebook、Google、Twitter のチェックアップの方法について書きましたが、その詳細は今日さらに重要です。
誰かがデジタルバールでこじ開けられるようなベクトルを残さないようにするために、さらにいくつかの場所を追加することをお勧めします。これらの場所のほとんどでは、最近のセッションや開いているセッションを表示できます。これにより、どのハードウェアやブラウザがアカウントにアクセスしているかを確認できますが、不正なアクセスがないかを見極めるのに役立ちます。
Facebookはセッションを開きます。FacebookのWebアプリでは、ツールバーのヘルプ(?)ボタンの右側にある下向き矢印をクリックします。「設定」を選択し、左側のナビゲーションバーで「セキュリティ」をクリックし、「ログイン場所」の横にある「編集」をクリックします。
IDG Facebook は「アクティブ」なセッションを数か月以上開いたままにしておくため、このリストを定期的に確認することをお勧めします。
私の Mac が両方とも、Facebook の新しい投稿ごとに約 40 件の通知を受け取る理由をトラブルシューティングしようとして、設定のこれらのセクションを確認したところ、リストされているサービスが数か月以上アクセスを試みていないにもかかわらず、いくつかのセッションが「開いている」ままになっていることがわかりました。
見覚えのない項目の横にある「アクティビティを終了」をクリックしてください。これにより、カレンダーの同期やモバイルアクセスに問題が発生し、再認証を要求されるか、2FAの場合はアプリ固有のパスワードを新たに作成する必要が生じる可能性があります。しかし、アクセスできなくなったパソコン、デバイス、またはサービス上で、なぜそれらの項目が残っているのかと悩むよりはましです。
私の場合、オフィスのMacとラップトップのMacBookはどちらも「Patreon」として認識されています。これはFacebook認証で使用しているサービスですが、セッションでは認識されないはずです。これはまだ解決できていない問題です。
(Mac では、システム環境設定の「インターネット アカウント」からシステムレベルの Facebook 接続を切断できます。アカウント一覧でFacebook をクリックし、下部のマイナス ボタンをクリックして削除します。連絡先とカレンダーのチェックボックスをオンにしている場合は、この操作によって連絡先とカレンダーも削除されます。また、連絡先と Facebook カレンダーも削除されますが、連絡先は削除されない可能性があります。)
Dropbox セッションと認証。Dropboxはサードパーティとの連携が大幅に増加しており、どれほど多くのサービスやサイトが様々な方法で Dropbox にアクセスできるのか、あなたも気づいていないかもしれません(私もそうでした)。Dropbox では、開いている Web セッション、リンクされたデバイスとその最終アクセス時刻、リンクされたアプリがすべて「セキュリティ」タブに表示されます。以前のシステムリリースからリンクされたままの iOS ハードウェアがまだ所有しているのに、表示されていたり、既に所有していないデバイスが見つかりました。デバイスを売却前に消去すれば、新しい所有者はあなたの認証情報なしで Dropbox に接続できなくなりますが、ドライブやスマートフォン、タブレットを消去せずに設定を削除すれば、その可能性を残さない方が効果的です。
Googleはセッションをオープンにしています。Google.comで、アカウントのアバターをクリックし、「マイアカウント」をクリックします。「ログインとセキュリティ」の下にある「デバイスアクティビティと通知」をクリックします。Googleは過去28日間のアクセスを制限しているため、問題の手がかりが少なくなります。
IDG Google は、アカウントへの潜在的な攻撃について通知することができます。
Googleは、アカウントの乗っ取りを企てていると判断した場合、警告を発することもあります。数週間前にも、複数のジャーナリストがこの警告を受け取りました。
Microsoft。Microsoft製品を定期的に使用していない場合、承認したにもかかわらず付与した権限を忘れている可能性があります。それらの権限を確認して変更できます。
信頼の再構築
永続的な信頼は良い戦略ではありません。ユーザーの許可を得て第三者がユーザープラットフォームを利用できるようにしているネットワーク、サービス、サイトは、リンクされたアプリとアクティブセッションを定期的に確認する方法を検討する必要があります。
企業は、ユーザーを増やし、サービスの価値を高めつつ、セキュリティ警告を無視するほどユーザーに迷惑をかけないようにバランスを取ろうとしています。しかし、現状では、サードパーティ製のアプリやシステムに接続するユーザーは、長期間にわたってセキュリティリスクにさらされることになります。
