Twitterクラック事件の原因？

昨日のTwitterクラック事件はDNSに不正な値を設定されたことが原因でした。 Twitter公式ブログでも以下のようにDNSが原因であり、本体が乗っ取られたわけではないと記述されています。

「Twitterブログ: 昨日のDNS障害についての追加情報」

この攻撃の間、われわれはDNSプロバイダのDynectと直接連絡を取り続けました。そしてDNSをできるだけ素早くリセットするよう緊密に作業しました。

これを見たときに「ああ、やっぱりDynectが原因だったか」と思いました。 恐らくTwitterは自分でネットワークやサーバをほとんど運営しておらず、DNS部分はCDN事業者のDynIncのサービスを購入していると推測されます(参考：Twitterのネットワーク構成を調べてみた)。

さらに、「CDN事業者のDynectにとってTwitterでの事件は経営に凄く大きな打撃を与えるのでは？」と思ってDynIncのTwitterアカウントを見てみました。

するとどうでしょう？ DynIncのTwitterアカウントはノホホーーーンとしています。

Here is Twitter's official statement from last night's DNS Event: http://blog.twitter.com
http://twitter.com/DynInc/status/6809516960

Wow, unbelievable day. Just smashed our best monthly sales revenue and it's only the 18th. #Dynect #DNS #DynDNS
http://twitter.com/DynInc/status/6810891548

「何？この他人事。。。。自社のDNSに不正情報を注入されてそれですか？？？」と思いました。 「今月、月間での過去最高の収入を記録！最高の日だ！」とか。。。今、書きますか？という感じです。

ただ、次のリンク先を見て理由がわかりました。 DynIncは「自分たちは何も悪く無い」「自分たちのインフラが不正侵入されたわけではない」と考えているんですね。。。

RT @Sully Twitter was hacked last night. Interesting story. Good to see that @DynInc is doing an awesome job: http://bit.ly/7BeA8U
http://twitter.com/DynInc/status/6804031205

さて、ここで紹介されているURLは「The Tech Helard : Twitter was not hacked - its DNS was hijacked (Update 2)」です。

これによると、クラッカーはTwitter社員のメールアドレスのアカウントへのアクセスを取得し、そのアカウントがDynIncのオンラインサービスに登録されていたので、パスワードリセットリクエストを送信し、そのパスワードリセットリクエストを利用してパスワードを変えてしまったのではないかという話でした。

そして、正規ユーザとしてDynIncにログインしてtwitter.comの情報を設定しなおしたと推測されています。 さらに、The Tech Helardでは、夜中にも関わらずクラック時間が短かったのはDynInc側がTwitterにパスワードリセットと不審な動作に関して通知したのではないかと書かれています。 ただ、これらが事実であったかどうかは、私には良くわかりません。 The Tech HelardによるとDynInc側は、それで正しいと言っているようです。

Twitter社員がパスワードクラックされる事件が以前もありました。 「TechCrunch:Twitterのハッカーとのコンタクトに成功 - 攻撃手口の詳細が判明した」

そこで書かれている攻撃手段です。

攻撃の概要を再度まとめておこう。

1. Hacker Croll（HC）はまずTwitter社員のGmailアカウントを攻撃した。パスワード・リセットを要求を送ったところ、リセットのためのリンクが送られた第2のメールアドレスは期限切れで無効になったHotmailアドレスだった。HCはそのユーザー名を推測して新たにhotmilに登録し、 Gmailのパスワードをリセットした。
2. HCは次に、Gmailのアーカイブを研究してリセット前のGmailパスワードを推測し、それにリセットした。Twitter社員はアカウント乗っ取りにまったく気づかなかった。
3. Twitter社員はGailで使用していたパスワードをGoogle Appsでも使っていた。ここには貴重な企業情報が大量に蓄積されていた。 特にメールの添付ファイルは宝の山だった。
4. HCは、こうして得た情報を利用してさらに他のTwitter社員のメールのパスワードを推測し、アカウントを乗っ取った。
5. HC は、まったく同様のパスワード推測、リセットの手口で、AT&T、MobileMe、Amazon、iTunesを始め、他のアカウントを次々に手に入れた。iTunesのシステムに存在した脆弱性を利用してクレジットカード情報を平文で表示させることもできた。HCはGoDaddyの Twitterドメインも乗っ取った。
6. この時点でも、Twitterはセキュリティーに重大な問題が起きていることにまったく気付いていなかった。

何か同じ手段のように思えます。。。 クリティカルなサービスにおいてメールでのパスワードリセットって危険なのかも知れないですね。。。 例えば、DNS毒入れ等を利用してアカウントリセットのメールを横取りしてしまうという手段もあるようです。

でも、こういう事例を見ていると、大規模でユーザが多いシステムを問題無く運営するのって大変で、特に問題無く運営しているところの裏には凄いエンジニアがいっぱい居るのだろうなぁと思いました。。。

おまけ

Twitterの公式発表で、以下のようにありますが、twitter.comに対してAPIを使っていてBasic認証で生パスワードとIDを偽サーバに送ってしまった可能性があるユーザがいる気がします。。。

この攻撃の目的は、われわれのサイトの見た目を変えることであり、ユーザーを標的にしたものではないと見られます。このため、アカウントが侵害された事実はないと確信しています。

何か、これって希望的観測で書いている気がするのですが。。。

個人的には、他サイトと同じパスワードをTwitterで使っている場合、Twitterではなく他サイト側のパスワードを変更する方が良いかもしれないと思います。 あと、以前マイクロソフトのセキュリティ担当幹部が「パスワードを紙に書け」と言っていましたが、こういう場合は使い捨てパスワードを紙の形で財布にでも入れておくのが最善のセキュリティになるのかも知れないと思いました(参考：CNET Japan「パスワードはメモしておけ」--MSのセキュリティ担当幹部、自説を披露)。

最近のエントリ

• Interop 2023のShowNetバックボーン詳解
• Interop Tokyo 2023 ShowNet取材動画
• 「ピアリング戦記 - 日本のインターネットを繋ぐ技術者たち」を書きました！
• 1.02Tbpsの対外線！400GbE相互接続も - Interop ShowNet 2022
• Alaxala AX-3D-ViewerとAX-Sensor - Interop 2022
• SRv6を活用し、リンクローカルIPv6アドレスだけでバックボーンのルーティング - Interop ShowNet 2022

過去記事

過去記事一覧