2FA bypass

ほぼこもセキュリティニュース By Terilogy Worx

Xfinityというメールサービスがあります。
通信会社の提供しているメールサービスです。
アカウントを発行して利用することができます。

メールアカウントを持つとそのメールアカウントを利用します。
誰か個人との連絡に使用することもあると思いますが、いろいろな用途でメールを利用します。
現在多く利用される用途の一つがなんらかのサービスを利用するときの自分の連絡先とすることでしょう。
メールアカウントを重要な用途に使用するとき、そのメールの安全性がポイントとなります。
しかしXfinityでは二要素認証を利用できますので、多くの利用者が二要素認証を設定してそういった用途に利用していました。

ここで悲しい事件が発生しています。
次の内容はある日のXfinityのフォーラムの書き込みです。

  • 突然自分のメールがハッキングされました、みんな大丈夫?
    わたしは突然自分のメールがハッキングされました。
    Xfinityにログインできないのは困るのでわたしはXfinityのサポートに電話し、サポートを依頼しました。
    朝電話しセキュリティ担当部門からコールバックがあるということになりました。コールバックは1.5時間から2時間後であると伝えられました。
    4時間経過しても連絡がないのでもう一度連絡しました。
    2回目の電話対応したサポートから聞いた話ではセキュリティ担当部門からコールバックは4時間から6時間であるということでした。
    その後やっとセキュリティ担当部門の人と話すことができました。
    起こっている問題を伝え問題の解決を依頼しました。
    しかしセキュリティ担当部門の担当者は、パスワードのリセットも、勝手に自分以外が設定したセカンドメールアドレスの設定の削除も実施しませんでした。
    それを実施する権限を自分は持っておらず、実施は上位部門でないと可能ではないという説明でした。
    上位部門の応答を得られるのには3日必要だと説明されました。
    担当者は、二要素認証があるのでハッカーはあきらめるでしょうと言いました。
    この担当者は類似の電話対応を数十件実施中であることも明かしました。

     

  • わたしもハッキングされました
    わたしも昨日2回ロックアウトされました。
    20年以上Xfinityを利用してきましたが、もう使えません。

     

  • わたしもハッキングされています
    わたしのアカウントはそのときメールを切り替えられる段階にあり、パスワードはすでに変更されていました。
    わたしもXfinityに2回電話しましたが、満足な対応を得ることはできませんでした。
    わたしも二要素認証を使用しています。
    ちなみに、勝手に追加されているyopmailには、パスワード無しでログインできますよ。
    わたしはそこにログインして、メールが転送されてしまっていることが確認できました。

     

  • 情報ありがとうございます
    パスワードなしでyopmailにログインできるという情報をありがとうございました。
    わたしもおかげさまで勝手に追加されたyopmailにログインでき、対応することができました。

発生した内容の詳細は明らかになっていません。
しかし集まってきている情報から考えると、二要素認証をバイパスされてしまうことが発生していると考えられます。
そして乗っ取られてしまったメールアカウントを使って、いくつものサービスが乗っ取られることにつながっています。
波及しているサービスにはいろいろなものがありそうですが、DropBox、Evernote、CoinbaseやGeminiの暗号通貨取引所、などのパスワードリセットが実行された例がありました。

メインのメールアドレスを用意し、それをいろいろなサービスの連絡用として使うという方法は多くの人が実施していることに思えます。
これを支える前提条件にはそのメールアドレスが安全に使用できるというものが期待されます。

この事例では二要素認証があるから大丈夫と思っていたらそうでなかった、というものでした。
セキュリティの分野では、XXXがあるから大丈夫、というように特定の要素技術に対して過度な期待はできないということなのかもしれません。
この例での直接の対処にはできませんが、私たちにできることは堅実な日々の運用を身の回りで確実に継続していくということに思えます。

参考記事(外部リンク):Just how many had their xfinity e-mail hacked yesterday?
forums.xfinity.com/conversations/email/just-how-many-had-their-xfinity-email-hacked-yesterday/63a22372ebc755162835f320