無料会員登録
MS&AD
サイバーリスクファインダー
あなたの会社のメールアドレス1つで
サイバーリスク・被害想定額等を可視化する
提供元 :MS&ADインターリスク総研
登録方法の流れはこちら
画像:redditより
海外の大手ソーシャルニュースサイト「Reddit」は2018年8月1日、何者かの手によるサイバー攻撃を受けたことを明らかにしました。
Redditは不正アクセス対策として二要素認証を導入していたにもかかわらず、SNSインターセプトを駆使してこれを突破。2007年のデータベースバックアップに含まれた情報が閲覧されたことにより、メールアドレス・非公開メッセージの他に、暗号化されたパスワードなどが流出したと報じています。
事案の経緯は?
今回の事案は、2018年6月14日~18日にかけて発生した事案です。攻撃者はRedditの従業員のアカウントに不正アクセスを行い、システムやソースコード、その他のログを閲覧。流出の可能性が指摘されました。
なお、Redditは翌日2018年6月19日に察知し、現在はプロセスを改善して必要な対策を講じたとのことです。
SMSを利用した二要素認証の脆弱性
SMSを利用した二要素認証は、以前から米国の「National Institute of Standards and Technology」から危険との指摘を受け続けてきました。ネットワークシステムは複数の技術で構成されていますが、中には非常に古く脆弱性の高いものも存在するからです。
今回行われた「SMSインターセプト」と呼ばれる攻撃は、こうした脆弱性を利用して他人のSMSを傍受するサイバー攻撃です。
参照redditに不正アクセス、二要素認証では守り切れず/Yahoo!ニュース
書籍「セキュリティ対策の基礎知識」
メルマガ登録でプレゼント!
セキュリティ対策で何をして良いかわからない
企業の情シス部門の方必見!
こちらから
関連コラム(あわせて、以下の記事もよく読まれています)
NIST SP800-207から見るゼロトラストの7原則を徹底解説!
2004年に起きたYahoo!BB(ソフトバンクBB)の個人情報流出事件について
ヤフージャパンID情報漏洩事件から考える<ユーザーが講じるべき自衛策とは>
休眠IDとは?危険性や必要なセキュリティ対策について徹底解説
JTB不正アクセス(標的型攻撃)により793万人分個人情報漏洩か!?
マルウェアアナリストとは?仕事内容や資格、今後の需要など徹底解説
CRYPTREC暗号リストとは?種類や注意点、暗号アルゴリズムの選び方について徹底解説
セキュリティコンサルタントに有利な資格は?仕事内容や年収も徹底調査
![中小企業の情報瀬キィリティ相談窓口[30分無料]](/wp-content/uploads/2023/07/bnr_footer04.png)
