オランダのセキュリティ専門家が、トランプ大統領のTwitter(ツイッター)アカウント、@realDonaldTrumpのパスワードを推測してアクセスすることに成功したという。パスワードは「maga2020!」だった(パスワードはすでに変更されている)。
GDI Foundationのセキュリティ研究者でセキュリティ脆弱性を見つけて報告するDutch Institute for Vulnerability Disclosure(オランダ脆弱性公表機関)の代表を務めるVictor Gevers(ビクター・ゲバーズ)氏はTechCrunchに、大統領のアカウントパスワードを推測し、5回目の試みで成功したと語った。
アカウントは2段階認証で保護されていなかったため、ゲバーズ氏のアクセスを許してしまった。
ログイン後同氏は、国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の一部門であるUS-CERTにメールでセキュリティの欠陥を報告し、TechCrunchはそのメールを確認した。ゲバーズ氏によると、大統領のツイッターパスワードはその後すぐに変更された。
ゲバーズ氏が、トランプ大統領のツイッターアカウントにアクセスしたのはこれで2度目となる。
1度目は2016年で、ゲバーズ氏はふたりの研究者とともに、2012年のLinkedIn侵害事件で流出したデータからトランプ氏のパスワードを抽出、解読した。研究者らはトランプ氏のテレビ番組「The Apprentice」のキャッチフレーズだったパスワード「yourefired」で彼のツイッターアカウントに入れることを確認した。ゲバーズ氏はオランダの地元当局に問題を報告し、トランプ氏がパスワードの安全性を高める方法を助言した。当時提案したパスワードの1つが「maga2020!」だったと彼はいう。それが何年も後に通用するとは「思っていなかった」とゲバーズ氏は語った。
オランダのニュース機関、Vrij Nederlandがこのニュースを最初に報じている。
ツイッターの広報担当者Ian Plunkett(イアン・プランケット)氏は声明で「私たちはこの主張を裏付ける証拠を、本日オランダで報じられた記事を含め何も見ていません。当社は米国の政府機関や選挙に関連する注目すべきツイッターアカウントについて、積極的にアカウントのセキュリティ対策を行っています」と述べている。
ツイッターは2020年9月に、政治候補者や政府アカウントのセキュリティ強化を行うと発表し、二要素認証の利用も推奨するが強制はしないと述べている。
トランプ氏のアカウントは、大統領就任後に新たな保護によって堅牢になったといわれているが、具体的な保護方法についてツイッターは公表していない。2020年7月にツイッターのネットワークに侵入し、「管理ツール」を使って著名人アカウントを乗っ取り、暗号通貨詐欺を働いたハッカー集団は、トランプ氏のアカウントにアクセスしなかった。
ホワイトハウスおよびトランプ陣営の広報担当者はすぐにコメントしなかったが、報道によるとホワイトハウスのJudd Deere(ジャッド・ディアー)副報道官は、本件について「まったく真実ではない」といいながら、大統領のソーシャルメディアセキュリティについてのコメントを拒否した。CISAの広報担当者は報道内容を確認していない。
「自分のツイートで国際的問題や株式市場の崩壊を起こせる人物がそんな簡単なパスワードを使い、二要素認証を行っていなかったとは信じられない」と英国サリー大学のAlan Woodward(アラン・ウッドワード)教授は語る。「彼のアカウントは2016年にハックされていながら、ほんの数日前に誰もハックされていないと彼がいったのは、ビンテージ2020級の皮肉だ」。
過去にゲバーズ氏は、顔認識データベースをウイグル人イスラム教徒の追跡に使った事象やオマーンの証券取引所の脆弱性などのセキュリティ事象を報告している。
画像クレジット:SOPA IMAGES / GETTY IMAGES
[原文へ]
(翻訳:Nob Takahashi / facebook )
(2020年10月23日 TechCrunch Japan「オランダのセキュリティ専門家がアクセスに成功したトランプ大統領のTwitterパスワードは「maga2020!」」より転載)
【関連記事】