「事例」タグアーカイブ

「あなたの友達を助けて」でFacebookアカウントを乗っ取る攻撃

Accessnow が新種のフェイスブック乗っ取り攻撃の流行を警告しています。

今回流行している手法は、Facebook のヘルプにもある、「信頼できる連絡先」を使ったアカウントへのアクセス回復機能の真似をするというもの。

これは、Facebook 上で選んでおいた信頼できる友人/連絡先の協力を得て、パスワード忘れなどの時にアカウントに再アクセスするというものです。今回の攻撃は、この機能を使っている「かのように」見せかけることで別の重大な情報を奪取しようとします。

手順が図で紹介されています。

  1. 攻撃者はまず、ターゲットの知り合いのアカウントを(例えば今回の手法で)乗っ取ります
  2. 次に、ターゲットのアカウントの復活を Facebook 上で申請します
  3. Facebook は2段階認証のため、ターゲットに SMS を送ります
  4. 同時に、(1の)ターゲットの知り合いアカウントから、「アカウント復活にそのコードが必要」とメッセージします
  5. ターゲットは、SMS のコードが(自分のアカウントの再設定用ではなく)知り合いのアカウントを復活させるために必要と信じ、コードをその友人にメッセージします
  6. 攻撃者は SMS のコードを使ってターゲットの Facebook アカウントを奪取できます
  7. 攻撃者は、乗っ取ったターゲットのアカウントを使ってターゲットの知り合いに1.から同じ攻撃を繰り返します

今はまだ英語による攻撃が流行しつつある状態だそうですが、同じことは日本語でも当然できてしまうので、近いうちに同様の攻撃が届くかもしれません。

信頼できる連絡先を使ってのアカウント回復では、数名の友人にバラバラにコードが送られて繋げて使うのですが、回復に使うコードがどんなものか知らなかったり、以前に経験していても忘れてしまったりするでしょうから、友達からタイミング良く偽メッセージが来たら、うっかり教えてしまう人もいるでしょうね。

知ってると知ってないでは騙されやすさもかなり違うと思うので紹介しました。

他人のFacebookアカウントを乗っ取る方法を見つけた人が$15000の報奨金を貰う

アナンド・プラカッシュさん(Anand Prakash)が月曜にブログで報告したのは、フェイスブックで他人のパスワードを取得する方法を見つけたという話。

Facebook のパスワードを忘れた時の再取得の手順は以下のようなものです。

  1. 電話番号かメールアドレスを入れる
  2. 送られてきた6桁の数字を本人の証明として入力
  3. 新しいパスワードを設定する画面に行ける

3でデタラメな数字を入れ続けると、10-12回ぐらい失敗した時点でブロックされてしまうそうです。ですので、6桁の数字を総当たりで試すことなどできないはず(=安全)なのですが、

  • beta.facebook.com
  • mbasic.beta.facebook.com

というfacebookに同じようにアクセスできるサブドメインでこれを行った場合、失敗してもブロックされないのを見つけた、というのです。

何回でも試せるので、10万回繰り返すスクリプトを回し、(他人のパスワードを本当に変えると犯罪なので)自分のアカウントのパスワードの再設定ができることを確認した、ということ。

こちらがデモ動画

Facebook への報告が2月22日、翌23日には修正を確認したということで、もちろん現在はこの手は使えません。

プラカッシュさん、3月2日には、Facebook からセキュリティホール発見の報奨金として$15000(170万2350円) を受け取ったということです。

ものすごい技術力がある、とかでもなく、beta. というアクセスができる別の入口を知っていた、とか、そこでたまたま試してみた、とか、こんな形でのセキュリティホール発見もあるんですね。これで$15000(170万2350円) 貰えるのは嬉しいだろうな、とは思いますが、もしこの hack が本格的に悪用されていたらどれぐらいの損害を被っていたかと思うと、Facebook には安く上がったと言えるのではないでしょうか。

もし2月23日以前に「変えた覚えがないのにパスワードが変わってた」ということがあった人は、気づくまでの間に同じ手口でアカウントにアクセスされていた可能性もゼロではないですね。

世界の大型個人情報流出をまとめたインタラクティブグラフ

Informaition is Beautiful(情報は美しい)が作成したWorld’s Biggest Data Breaches(世界最大のデータ流出)は、これまでの大型のデータ流出事件を集めて可視化した、インタラクティブなチャートです。

worlds-biggest-data-breaches

ここでは、3万件以上の顧客情報を流出した企業やwebサービスが記録されています。デフォルトでは、

  • 流出した時期が縦軸に2013年から2004年まで、
  • 左から右へアルファベット順に、
  • 流出したデータの件数の大きさに応じたサイズの丸が

描かれています。それぞれの丸にカーソルを置くと、”read a bit more”というリンクが表示され、実際にどんな情報流出が発生したのかを、もう少し詳しく知ることができます。

リンク先で実際に触ってみてもらうのが一番です。

また、チャートの上にある”Method of Leak”を選ぶと、情報が流出した原因・経路で色分けされます。右上の”Filter by”で、流出原因の一覧を見たり、絞込み表示したりできますが、流出原因としては、以下に分類されています。

  • 間違って公開された
  • ハックされた
  • 内部者による
  • パソコン紛失・盗難による
  • 記録メディアの紛失・盗難による
  • セキュリティレベルが低かった
  • 不明
  • コンピューターウィルス

多いのはどれでしょうか? ハックされた、が一番多いですね。次が間違って公開された。3万件以上の流出(で事件が判明して公開されているもの)は、ウィルスとか盗難というのはそれほど多くないのだなとわかります。

“Data Sensitivity”を選んだら、流出件数ではなく流出したデータの重要さに応じて丸のサイズが表示されるように変わります。

via Data breach interactive chart shows major increase in security flaws | VentureBeat

Inquisitr.comの売却資料に見る、英語ブログの値段

calculator and moneyphoto © 2010 Images Money | more info (via: Wylio)
ブログヘラルドというブログの創業者で、TechCrunchのライターをやめて2008年に独立したDuncan Rileyさんが作ったThe Inquisitr(インクイジター。inquisitorのスペルをもじったもの)というブログがあります。
Theinquisitrtop
このThe Inquisitr、TechCrunchの取り上げるようなテック系・ガジェット系も書けば、米国スポーツや有名人ゴシップなども取り上げるなどカバー範囲を広げていき、このあたりのブログとしては中堅といっても良いぐらいの人気を博しています。僕の購読リストの中では、毎日必ず読むブログには入ってませんが、いつも読むリストを巡回しても面白いネタが見つからなかった時にはチェックするブログという扱いです。

今回、このDuncan Rileyさんが、家庭の事情でこのThe Inquisitrを売却したい、と言っています。このブログの売却希望価格とかページビュー、売り上げやライターのコストなどの、普段出てこない生々しい数字が公開されていて参考になるのでご紹介します。
まず、サイト自体について。ブログの投稿数が17,723件。3年間でこの件数だと、一日18記事ですか。結構な量ですね。

ページビューは月間700万pv。月間訪問者は150万人。Facebookぺーじのファンが3000人、ツイッターのfollowersが5500人。CMSとしてはWordPressを利用。たった3年でこれだけのブログを作るなんてすごいです。

それにたいして、Rileyさんが希望している売却価格は$300,000(3404万7000円) (2400万円(27億2376万ドル))
運営費は、サーバーの維持費が月$800(9万792円)(6万5千円)。ちなみにサーバーはRackspaceとAmazon Web Serviceの組み合わせです。毎日18記事を本人が書いているわけではなく、ライターチームを雇って書かせています。これが、変動が大きいものの月にならすと$5000(56万7450円)(40万円(4539万6000ドル))。自分で記事を書くことは最近はめったになくなっているそう。

それに対して収入はというと、荒利が月に$15,449(175万3307円)(125万円(1億4186万2500ドル))。全部が広告収入で、それらの内訳も公開されています。

収入源 金額(ドル。12ヶ月の合計)
Technorati Media 132756.69
グーグルアドセンス 3056.17
アマゾンアフィリエイト 714.35
Buy Sell Ads 6367.5
Kontera 9321.21
Meebo 3084.67
Text Link Ads 19814.28
Valueclick Media 2234.14
Outbrain 8044.42

で、年間収入が18.5万ドル(2042万8200円)。12で割ると$15,449(175万3307円)ということになるようです。

この情報、英語ブログや英語サービスを広告モデルで運営するときに(アジアジンもそうですが)、どこから広告を引っ張ってこれて、どれぐらいの収入になるのかがわかっていいですね。

実際のサイトでどこにどのサービスからの広告をどのように貼っていたか、でぜんぜん違ってくるとは思いますし、それはInquisitrというサイトが今も運営中なので確かめることはできるのですが、このブログでは、Technoratiメディアからの収入がかなり大きな割合を占めているのですね。テクノラティなんて、日本ではもうほとんど聞かなくなったブランドですが、アメリカではブログ広告をネットワークしていたんですね。

さて、これだけのメディア、そのまま運営し続けられると年5%の収益ということになりますが、海外に発信したくてお金がある会社なら、このへんポンと買っちゃったほうが、PR会社とかに支払うより安かったりするかもしれないですね。