Instagram の最も強力なセキュリティ設定であっても、執拗なハッカーからアカウントを保護するには十分ではない可能性があります。
会社が経営に追われる中、ハッキングの波8 月初旬以来、数百人のユーザーがこの攻撃に見舞われていますが、これらのユーザーの多くは、アプリのセキュリティ設定に関して深刻な疑問を引き起こす問題のパターンについて述べています。
インスタグラムユーザーは 2 要素認証 (PSA:方法は次のとおりです2FA をまだ有効にしていない場合は有効にします)。ただし、現在はテキスト メッセージに依存しているため、アプリベースの認証方法ほど安全ではありません。
同社は次のように述べた。声明先週、Mashableはインスタグラムのハッキング件数が増加していると報告したことを受けて、2FAセキュリティの向上に取り組んでいると述べたが、その方法については明らかにしなかった。 (開発者 Jane Manchun Wong は以前証拠を見つけた同社は、Google Authenticator などの専用の認証アプリを使用できるようにする機能をテストしています。)
ただし、そのアップデートが利用可能になるまで、ユーザーにとっての唯一の選択肢は SMS ベースの方法です。また、SMS ベースの 2FA はまったくないよりはマシですが、執拗なサイバー犯罪者から Instagram アカウントを保護するには十分ではない可能性があります。
弱い 2FA セキュリティ
先週、ハッキングされた Instagram アカウントについて Mashable に問い合わせた 275 人以上の人々のうち、私たちが話を聞いた人のほとんどは、当時 2FA を使用していなかったと言っています。
しかし、Mashableは、2FAが有効になっていたにもかかわらず、少なくとも4人がハッキングされたことを確認した。 Mashableに連絡した少なくとも他の6人も同様の主張をしているが、ハッキングされた際にアカウントで2FAを有効にしていたという証拠を提出できなかった。
これらのケースの中には、何の警告もなくユーザーが突然ロックアウトされるまで、誰かがアカウントをハッキングしようとする兆候が見られなかったケースもあります。他のケースでは、ハッカーが自分たちをターゲットにしていることに気づいていたが、インスタグラムの最も厳しいセキュリティ設定ではアカウントを保護できなかった。
「IT プロフェッショナルとして私が取り組んでいる最大のセキュリティ問題は Instagram であると言っても過言ではありません。」
組織を代表して話す権限がないため、匿名を条件にMashableにインタビューしたあるIT専門家は、厳格なセキュリティ設定にもかかわらず、自分が会社で管理しているInstagramアカウントが1カ月の間に3回ハッキングされたと語った。 。このアカウントでは 2 要素認証が有効になっており、20 文字のパスワードが使用されており、アカウントにリンクされている電子メール アドレスはランダムな文字がごちゃ混ぜになっています。同氏は、SIM の不正なポートを防ぐために通信事業者に特別な指示さえ与えています。
しかし、これらすべてにもかかわらず、このアカウントは頻繁にハッキングの標的となっており、先月に3回侵入されました。彼は、1 日に数十件の不正な 2FA プロンプトを受け取ることがよくあります。 (Mashable は、これらの試みを確認するスクリーンショットを確認しました。)しかし、奇妙なことに、プロンプトを受け取るまでに、ハッカーはすでにアカウントへのアクセスに成功していたと彼は言います。
「Instagramが利用できるものはすべて私たちのアカウントで行われていますが、SMS(2FAプロンプト)を受け取るたびに、彼らはすでにパスワードを変更しています」と彼はMashableに語った。 「IT専門家として、彼らがどのようにこれを行っているのかを伝えることはできません。彼らは根本的にInstagramに何らかの欠陥を抱えており、それを悪用してこれを行っているに違いありません。」
彼は Instagram に連絡先を持っているため、毎回アカウントへのアクセスを取り戻すことができましたが、絶え間ないハッキングの試みにより依然として損害が発生しています。彼らを撃退するのは、ほぼ絶え間ない格闘となっている。通常、最初の数分以内に彼らを捕まえれば、パスワードをリセットして追い払うことができると彼は言う。これにより、他の業務に時間が割かれることになる。
マッシュ可能な光の速度
「IT プロフェッショナルとして私が対処する最大のセキュリティ問題は Instagram であると言っても過言ではありません」と彼は言います。
中小企業がひっくり返る
こうした攻撃がどのように発生するのかはまだ不明です。昔はハッカーが乗っ取った2FA で保護されたアカウントにアクセスするための Instagram ユーザーの SIM。しかし、このようなケースでは実際に起こっていることはないようで、ユーザーは自分の 2FA 設定が知らないうちにバイパスされたり、変更されたり、無効になったりしていると説明しています。
「2 要素認証は明らかに役に立ちますが、絶対確実というわけではありません。」
マサチューセッツ工科大学スローン経営大学院の情報技術教授スチュアート・マドニック氏は、「2要素認証は明らかに役に立ちますが、絶対確実というわけではありません」と述べ、賢いハッカーは2要素認証を回避できる抜け穴を見つけることができることが多いと指摘する。
このような抜け穴の 1 つは特によく知られています。シグナリング システム 7 (SS7) プロトコルとして知られる通信会社が使用するルーティング プロトコルの欠陥により、ハッカーは基本的に、意図した受信者からの 2FA テキスト メッセージをリダイレクトできます。この欠陥は過去に悪用され、大きな効果をもたらしました。 2017 年 1 月、ハッカー集団が SS7 の欠陥を悪用して、被害者のファイルを空にしました。銀行口座とArsTechnicaが報じた。そして、Positive Technologies の研究者は、この特定の欠陥を利用して Coinbase アカウントをハッキングすることがいかに簡単であるかを実証しました。去年。 2人の民主党議員がFCCに対し、通信事業者と協力してSS7の脆弱性に対処するよう公的に要請した去年, しかし、まだパッチが適用されていません。
これがInstagramに起こっていることなのかどうかは、同社が直接検討しない限り確かなことは言えない。インスタグラムは記録についての複数のコメント要請を拒否している。しかし、最近のハッキングの波で数百人がアカウントにアクセスできなくなり、現在10億人以上のユーザーがいるこのサービスにとってセキュリティへの懸念が高まっているという事実が浮き彫りになった。
顧客のために Instagram に依存している中小企業の経営者にとって、これらのハッキングは特に壊滅的なものになる可能性があります。
サウンドトラック デザイン会社でクライアントとのコミュニケーションに Instagram を使用しているロバート ジョーダン氏も、同様の経験を報告しています。 8月12日の夜、約5,000人のフォロワーがおり、2FAで保護されていたインスタグラムのアカウントにログインできなくなった。彼はすぐに、アカウントのパスワードと電子メールだけでなく、ユーザー名も変更されたことに気づきました。彼のプロフィールは削除され、プロフィール画像はドリームワークス映画の静止画と思われる馬の部分画像に変更されました。精霊:シマロンの種牡馬。
「Instagram やその他のソーシャル メディアを通じて毎日複数の顧客とやり取りする私のようなビジネス プロフィールの場合、顧客満足度が大幅に低下します。」
同氏は、インスタグラムから何か問題があったという兆候を一切受け取ったことがないと述べ、2要素認証のプロンプトや、アカウント情報が変更されたことを警告する電子メールも受け取らなかったという。 Mashableと話をした他の何十人もの人々と同様に、彼もInstagramのサポートシステムをうまく使いこなすことができなかった。
「クレジット カード、住所、電話番号、プライベート メッセージなどの機密情報がアカウントに関連付けられているため、サポートが標準以下であることは非常に残念です」とジョーダン氏は言います。 「多くの人がデータプライバシーの問題を理由に Facebook を無視しており、LinkedIn はそれほど人気がありませんが、Instagram が私にとって最大のつながりです。Instagram やその他のソーシャル メディアを通じて複数のクライアントと日々やり取りしている私のようなビジネス プロフィールの場合、それは顧客満足度に大きなダメージを与えます。」
この種の中小企業アカウントは、アカウントを運営している人だけではなく重要です。 Facebookにとって中小企業はますます重要な人口構成となっている。同社独自の統計によると、Instagramには2,500万件のビジネスプロフィールが存在する。そして、こうした企業のすべてが広告費を支払っているわけではないが、同社は広告費を支払うようますます企業に奨励しようとしている――インスタグラムでは、企業がフィード内にショッピング可能な広告を表示してユーザーをターゲットにできるようにしており、最近ではアプリ内ショッピングの実験を開始しているストーリーで、従来の広告に加えて。
ただし、Facebook とは異なり、かなり堅牢なセキュリティ設定 (物理的なセキュリティキーセカンダリ認証アプリも同様)、Instagram のセキュリティ設定はかなり初歩的です。多くのフォロワーを持つ企業やその他のアカウントは、他のユーザーと同じ制限された設定を利用できます。
これらの設定では、多数のフォロワーがいるアカウントやハンドルが短く、ハッキングの主なターゲットとなるほどユニークなアカウントを保護するには十分ではないとユーザーは言う。たとえば、2FA が提供されていますが、ユーザーは、認識されていないデバイスからログインする場合にのみ追加コードの入力を求められます。 Instagram では、アカウント情報を変更したり 2FA を完全に無効にしたりするために、パスワードやその他の認証方法も必要ありません。
ユーザーに常に情報を提供する
マサチューセッツ工科大学のマドニック教授は、インスタグラムも潜在的なハッキングのリスクについて人々を教育するために全力を尽くしていない可能性があると指摘する。 「インスタグラムにとって、人々に脅威にさらされていることを伝えることが最善の利益となるかどうかは明らかではない。これはある種の利益相反だ。」同氏は、多くの人は 2FA の存在を知らなかったり、自分たちは標的にされないと考えたりして、決して有効にしないと指摘しています。
ハッキングを複雑にしているのはインスタグラムのサポートシステムで、ハッキングされたアカウントを回復するという殺到するリクエストに対処する体制が十分に整っていないようだ。インスタグラム先週言ったアカウントが不正にアクセスされ、アカウント情報が変更されたユーザーは、電子メールの指示に従ってアカウントの変更を元に戻す必要があります。しかし、多くの人が、これらのリンクが表示されるまでにリンクが切れていると報告しています。メールがまったく届かなかったり、アカウントに関連付けられた連絡先情報がすべて変更されているため、パスワードをリセットしようとしても無駄だったという人もいます。 Instagramは、ユーザーがアカウントを回復できるようにする他の方法があると述べているが、以前のことを指摘する以上の詳細についてはコメントを拒否したブログ投稿。
ハッキングされたユーザーにとって、このプロセスはさらなる侮辱です。ビジネスをサポートするためであれ、愛する人の写真を復元するためであれ、プライバシーを保護するためであれ、既にアカウントの制御を取り戻すことに必死になっている人々は、最終的には解決策のない自動メールを次から次へと受信し、ぐるぐる回っていると感じることになります。 。
そのため、Instagramの残りの10億人のユーザーが、同社が開発中であると約束しているセキュリティアップデートを待っている一方で、最も熱心なユーザーの一部は、決して提供されないかもしれない解決策をまだ待っている。