Redditに不正アクセス、SMSインターセプトで二要素認証を突破|サイバーセキュリティ.com

Redditに不正アクセス、SMSインターセプトで二要素認証を突破



画像:redditより

海外の大手ソーシャルニュースサイト「Reddit」は2018年8月1日、何者かの手によるサイバー攻撃を受けたことを明らかにしました。

Redditは不正アクセス対策として二要素認証を導入していたにもかかわらず、SNSインターセプトを駆使してこれを突破。2007年のデータベースバックアップに含まれた情報が閲覧されたことにより、メールアドレス・非公開メッセージの他に、暗号化されたパスワードなどが流出したと報じています。

事案の経緯は?

今回の事案は、2018年6月14日~18日にかけて発生した事案です。攻撃者はRedditの従業員のアカウントに不正アクセスを行い、システムやソースコード、その他のログを閲覧。流出の可能性が指摘されました。

なお、Redditは翌日2018年6月19日に察知し、現在はプロセスを改善して必要な対策を講じたとのことです。

SMSを利用した二要素認証の脆弱性

SMSを利用した二要素認証は、以前から米国の「National Institute of Standards and Technology」から危険との指摘を受け続けてきました。ネットワークシステムは複数の技術で構成されていますが、中には非常に古く脆弱性の高いものも存在するからです。

今回行われた「SMSインターセプト」と呼ばれる攻撃は、こうした脆弱性を利用して他人のSMSを傍受するサイバー攻撃です。

参照redditに不正アクセス、二要素認証では守り切れず/Yahoo!ニュース




書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け


ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。