AP通信がTwitterアカウントで2要素認証を設定していた場合、「もしも … 」の土地から、親シリアのハッカーはアカウントを乗っ取って大混乱を引き起こすことができなかったでしょう。
素敵で整頓されたアイデアですが、実際にはありません。 二要素認証はユーザーアカウントを保護するための強力なツールですが、すべての問題を解決できるわけではありません。 ハッカーがフィッシング攻撃を介して侵入したため、2要素を持つことは@APの助けにはなりませんでした。 PhishMeのCTOであるAaron Higbee氏によると、攻撃者はユーザーをだましてセキュリティレイヤーをバイパスさせる別の方法を見つけるだけです。
火曜日、親シリアのハッカーはAPのTwitterアカウントをハイジャックし、ホワイトハウスでの爆発と大統領が負傷したと主張する偽のニュースアラートを投稿した。 APスタッフが何が起こったのかを理解し、話が間違っていると言った3、4分で、投資家はパニックに陥り、ダウ・ジョーンズ工業平均は148ポイントを超えました。 ブルームバーグニュースは、S&P 500インデックスからの1, 360億ドルの「下落」を推定しました。
予想通り、多くのセキュリティの専門家は、二要素認証を提供していないことでTwitterをすぐに批判しました。 「Twitterは本当に2要素認証を迅速に展開する必要があります。これは市場の背後にあります」とnCircleのセキュリティオペレーションディレクターであるAndrew Stormsはメールで述べています。
グループと個人アカウント
2要素認証により、攻撃者がブルートフォース方式を使用してユーザーアカウントをハイジャックしたり、ソーシャルエンジニアリング方式でパスワードを盗んだりすることが難しくなります。 また、アカウントごとに1人のユーザーしかないことも想定しています。
F-Secureのセキュリティ研究者であるSean Sullivan氏は SecurityWatch に次のように語っています。
APは、他の多くの組織と同様に、おそらく1日を通して複数の従業員が@APに投稿していました。 誰かがTwitterに投稿しようとするとどうなりますか? ログインを試みるたびに、登録されたデバイス(スマートフォンまたはハードウェアトークン)を持っている人が、セカンドファクターコードを提供する必要があります。 実装されているメカニズムに応じて、これは毎日、数日ごと、または新しいデバイスが追加されるたびに行われます。
OneIDのCSOであるJim Fenton氏は SecurityWatch に次のように語っています。
@SecurityWatchに投稿したいとします。 2要素コードを取得するには、アカウントを「所有」している同僚にIMまたは電話をかける必要があります。 または、ラップトップは承認されたデバイスであったため、30日間ログインする必要はありませんでしたが、現在は31日目です。 そして週末。 潜在的なソーシャルエンジニアリング地雷原を想像してください。
「簡単に言えば、2要素認証では人々を保護するのに十分ではありません」とサリバン氏は言います。
万能薬ではない二要素認証
Fenton氏によると、2要素認証は優れた強力なツールですが、フィッシング攻撃の防止など、すべてを行うことはできません。 実際、一般的な2要素認証ソリューションでは、ユーザーは気付かれずに簡単に認証アクセスにだまされる可能性があるとFenton氏は述べています。
上司にテキストメッセージを送信した場合を想像してください:@securitywatchにログインできません。 コードを送ってください?
二要素認証はアカウントのフィッシングをより困難にしますが、攻撃の成功を妨げることはありません、とPhishMeのHigbeeは言いました。 会社のブログで、PhishMeは、フィッシングが2要素をバイパスして攻撃ウィンドウを狭める方法を示しました。
まず、ユーザーはフィッシングメールのリンクをクリックし、ログインページに移動して、適切なパスワードと有効な2要素コードを偽のWebサイトに入力します。 この時点で、攻撃者は有効なログイン資格情報が期限切れになる前にログインする必要があります。 RSAトークンを使用する組織は30秒ごとにコードを再生成できますが、ソーシャルメディアサイトの場合、有効期限は数時間または数日先になる場合があります。
「これは、Twitterがより堅牢な認証レイヤーを実装すべきではないということではありませんが、それはどこまで進むべきかという疑問をも招きますか?」 Higbee氏は、Twitterはもともとグループ向けに設計されたものではないと付け加えた。
リセットは大きな問題です
フロントドアに2要素認証を実装することは、バックドアに脆弱なロック(弱いパスワードリセットプロセス)がある場合、スクワットを意味しません。 フェントン氏によると、母親の旧姓などの共有シークレットを使用してアカウントアクセスを作成および回復することは、「今日の認証慣行のアキレス腱です」と述べています。
攻撃者がユーザー名を知っている場合、パスワードのリセットは、リセットメールを傍受するだけです。 これは、メールアカウントへの侵入を意味する場合があり、非常によく起こります。
パスワードヒントの質問には独自の問題がありますが、Twitterはリセットプロセスの一部としてそれらを提供することさえしません。 必要なのはユーザー名だけです。 「パスワードをリセットするには個人情報を要求する」オプションがありますが、必要な追加情報は、簡単に入手できる電子メールアドレスと電話番号だけです。
「Twitterアカウントは引き続きハッキングされ続けるため、Twitterはユーザーを保護するために、2要素だけでなくいくつかのことを行う必要があります」とSullivan氏は述べています。