Twitterと電話番号を紐付けるリスクが明白に〜ジャック・ドーシーCEOも被害

 
Twitterの創業者であるジャック・ドーシー最高経営責任者（CEO）のアカウントが先日ハッキングされましたが、攻撃者の手口が解明されつつあります。ハッキングを行った集団は、ドーシー氏の電話番号を悪用することで乗っ取りに成功したようです。

電話番号で本人になりすました

8月30日（現地時間）、ジャック・ドーシー氏がTwitterで人種差別的な発言を投稿しました。約20分間放置された後、問題の投稿は何事もなかったかのように削除され、Twitter社は「アカウントが乗っ取られた」ことを明らかにしました。
 
さらなる被害を防ぐためでもあるのか、どのような手口でアカウントが乗っ取られたのかは公式に明らかにされていませんが、ニュースサイトTHE VERGEは「ジャック・ドーシー氏の電話番号が悪用されたのではないか」と推測しています。
 

. @jack has been hacked pic.twitter.com/E2p9IopnSx

— Yashar Ali ? (@yashar) August 30, 2019

 
問題の投稿はCloudhopperというサービスから送信されていました。Cloudhopperは2010年にTwitter社によって買収されており、これによってTwitterではSMSを通してツイートを送信することが可能となっています。アカウントと紐づけされた電話番号からショートコードの40404に向けてメッセージを送ると、それがツイートとして投稿される仕組みです。
 

 
したがって、ターゲットの電話番号を入手し、キャリアに対してターゲット本人だと偽装することさえできれば、パスワードを知らずともアカウントをコントロールできてしまうのです。こうした手口は「SIMハッキング」と呼ばれています。今回の乗っ取りを行ったハッキング集団Chuckling Squadは、これまでにも何度かインフルエンサーを攻撃しており、その多くが米大手キャリアのAT&Tを使用していたことが明らかになっています。THE VERGEは「ドーシー氏のキャリアもAT&Tだったのではないか」と推察していますが、AT&T側は沈黙を守っています。
 
ジャック・ドーシー氏の二の舞にならないための対策として、THE VERGEはキャリアのアカウントにPINコードを設定するか、ダミーの電話番号でTwitterに登録する選択肢を提示しています。しかし、そんな方法など多くの一般ユーザーは思いもよらないでしょう。使い捨てSIMを活用することでダミーの電話番号は取得できますが、そのSIMが有効期限を迎えれば電話番号は別のユーザーが使用することになるので、新たなトラブルが待ち受けています。
 
本人認証のために電話番号の紐づけが必須となりつつある世の中にあって、そうした風潮がまさにリスクとして顕在化してしまったのが、今回の一件ではないでしょうか。
 
 
Source:THE VERGE,Twitter-viticci
Photo:Twitter-yashar,JD Lasica
(kihachi)