無線LANのただ乗りに「無罪判決」の驚き：セキュリティクラスタ まとめのまとめ 2017年4月版（2/3 ページ）

2017年4月、セキュリティクラスタが注目したのは先月に続いて「Apache Struts 2」の脆弱（ぜいじゃく）性。対応がよろしくない組織が目立ったためです。無線LANのただ乗りに対して「無罪判決」が出たことにも、話題が集まりました。

[山本洋介山（エヌ・ティ・ティ・コミュニケーションズ），＠IT]

GyazoアカウントとTwitterアカウント、認証情報をスクリーンショットで保存していたために不正アクセスされる

　4月12日には画像サービス「Gyazo」役員の増井俊之さんがGyazoのアカウントとTwitterアカウントを乗っ取られて不正利用されてしまっていたことが話題となっていました。4月7日に増井さんのTwitterが不正利用されたことから乗っ取られたことが明らかになったようです。

　増井さんが有名人だったこともあるのですが、それに加えておわびに詳細な「やられ方」が説明されていたこと、やられ方のオリジナリティがセキュリティクラスタの心を捉えたようでした。Gyaoのサービスはスクリーンショットを簡単にWebで共有できること。これがカギでした。

　やられ方はこうです。あるサービスとGyazoでパスワードを使い回していたために、あるサービスで漏れたパスワードを使ってGyazoのアカウントを乗っ取られました。次にGyazoのサービスに保存されていたTwitterのユーザー名とパスワードが書かれたスクリーンショットを使ってTwitterのアカウントに不正アクセスされたということでした。

　これに対しTLではスクリーンショットをGyazoに置くのはありえないという意見がほとんどでしたが、増井さんでもやられるのかという意見、リテラシーの低い人が役員をやれるのかという意見、「ピタゴラスイッチ」みたいなやられ方だという意見もありました。

　アカウントの乗っ取りでは志村けんさんが被害に遭いました。Instagramアカウントが乗っ取られて局部の画像がアップされたことです。事務所の発表では不正アクセスだということだったのですが真相は明らかになっていません。関連した話題もありました。たくさんの芸能人アカウントのパスワードを推測して乗っ取っていた人が逮捕されたのです。パスワードに名前と誕生日を使う人が多かったようです。