概要

7月14日(現地時間)、任意のインスタアカウントのパスワードをリセットできる脆弱性の記事が公開されました。

結果として、遠隔の第三者によりアカウントを乗っ取ることができてしまいます。

この脆弱性は、インドのバクバウンティハンターであるLaxman Muthiyahによって発見されました。

thezerohack.com

上記のサイトでは、報告者による攻撃のでも動画と検証内容に関する記事が公開されています。

本手法はパスワードリセットの仕組みを悪用したもので、リセット時に与えられる6ケタのパスコードを利用することで実現します。

このパスコードは10分間有効で、発行後、当該デバイスにSMSまたはメールで送られます。

つまり、10の6乗=100万通りのパスコードを10分以内に総当たりで確かめれば。というところですが、Ratelimit(一定時間における回数制限)によって制限されていました。

ただし、今回の発見により、そのRatelimitが複数の異なるIPアドレスからのアクセスでは回避されてしまうことが確認されました。

以下のデモ動画では、実際に複数のIPアドレスを起点に20万通りのパスコードでリクエストを送り、有効なパスコードの特定に成功しています。

www.youtube.com

筆者によると、実際の攻撃では5000IPアドレスを使って攻撃を行う必要があると述べています。

そしてそれは、クラウドサ－ビスを踏み台にすれば、150ドル程度(日本円で16,000円ほど)で実現可能だと言っています。

当該脆弱性の修正バージョンはすでに公開されており、報告者は報告の報酬として$30,000(日本円で3,240,000円ほど)を手に入れたとのことでした。

Instagramをご利用の皆さんは、ぜひ早急にバージョンアップしてください。

おそらく、昨日今日でリリースされているバージョンが最新かと思います。

また、Hacker Newsに書かれているとおり、万が一パスワードがリセットされてしまった場合でもアクセスを防ぐため、 に二要素認証を有効にしておくことをお勧めします。

thehackernews.com

ちなみに、今話題の二段階認証と二要素認証は異なるので、ご注意を。

二要素認証は「知識認証」「所有物認証」「生体認証」のうち二つ以上を組み合わせたものです。

そのため、(二要素認証) ⊆ (二段階認証)となります。

感想

Instagram便利ですよね。

私も年明けからストーリーを使ってみてるのですが、1日で消えるのがかえっていい感覚がわかり始めました。

だから、バイト炎上投稿が起きるんだよ。 と思わざるを得ませんが、Facebook社的にはこれで広告収入が入ればいいんでしょうね。

ザッカーバーグの経営方法は絶対に日本にはまねできないと同時に、 対抗するなら、その裏を徹底的につくのがいいんでしょうけど。

まぁ日本には、FacebookやTencentに対抗できるアプリがないですから。 ※LINEは韓国です