最近は芸能人や政治家なども利用している人気サービス「Twitter」が、2009年7月中旬にHacker Crollと名乗る攻撃者によって機密情報を盗み出されてしまいました。この記事を掲載しているTechCrunchは、HackerCroll氏にコンタクトをとり攻撃手法の詳細について聞き出すことに成功しました。

Croll氏は1人のTwitter社員のGmailアカウントをターゲットにしました。Gmailはパスワードを忘れた場合にリセットする機能を持っており、リセットを発動するURLを第二のメールアドレスに送るようになっています。Croll氏は第二のアドレスがHotmailであり、かつそのHotmailアカウントが長時間利用されておらず失効されていることを突き止めました。Croll氏はそのアカウントで新規登録し、GmailのパスワードをリセットするURLを手に入れてGmailアカウントを乗っ取り、Google Appsへ侵入しTwitterの社内文書を手に入れたようです。また、彼はGmailのアーカイブを検索してどのサービスも同じパスワードを使っていることを発見し、リセットしたGmailのパスワードを元に戻して本人に気づかれないようにした、といった巧妙な手口を明かしています。

記事ではこの事件に似たものとして、有名人のアカウントが、パスワードリマインダに使われる「秘密の質問」の回答を追跡可能なものにしたために乗っ取られてしまった事例を紹介しています。これらの教訓として、「⁠異なるサービスに同じパスワードを使ってはならない」「⁠秘密の質問の回答として、検索すれば入手できる情報を使ってはいけない」と締めくくっています。

URL：http://jp.techcrunch.com/archives/20090719the-anatomy-of-the-twitter-attack/