Twitterの2段階認証、企業などの公式アカウントでは役に立たない?
2013年5月26日 15:35
AP通信など大手メディアの公式アカウント乗っ取りが相次いだことを受けてTwitterでは2段階認証を導入したが(日本では未導入)、企業などの公式アカウントでは利用できない可能性をSophosが指摘している(Naked Securityの記事、PCMag.comの記事、本家/.)。
Twitterの2段階認証ではログインの際、登録した携帯電話番号にSMSで認証コードが送信される。この認証コードを入力することでログインが完了する仕組みだが、企業などの公式アカウントは複数のスタッフが共有していることが多い。2段階認証で登録できる携帯電話番号は1つだけなので、このようなアカウントで2段階認証を有効にするのは難しいとしている。
一方、2段階認証を有効にした場合も、フィッシングサイトを使用した攻撃に引っかかってしまえば簡単に突破されてしまうという。セキュリティー企業ToopherのCEO、Josh Alexander氏の解説によれば、攻撃者は攻撃対象となるユーザーをフィッシングサイトに誘導して偽のログイン画面でTwitterのログイン情報を入力させる。入力された情報を使用して攻撃者がTwitterにログインすると、ユーザーの携帯電話に認証コードが送信される。あとは偽の認証コード入力画面で認証コードを入力させれば、攻撃者は必要な情報をすべて入手できることになるとのことだ。 スラッシュドットのコメントを読む | セキュリティセクション | モバイル | メディア | セキュリティ | Twitter | 携帯電話 | インターネット
関連ストーリー:
AP通信のTwitterアカウントに不正アクセス、虚偽情報の投稿で株価下落を引き起こす 2013年04月24日
Googleの2段階認証を突破する方法が発見される 2013年02月27日