Malwarebytesは9月1日(米国時間)、「A firsthand perspective on the recent LinkedIn account takeover campaign」において、LinkedInアカウントへのハッキングキャンペーンに巻き込まれた人の体験談とLinkedInの対応について伝えた。
LinkedInアカウントへのハッキングキャンペーンについては、「LinkedInアカウントへのハッキングキャンペーンが進行中 | TECH+(テックプラス)」で報じたとおり、目的不明とされるアカウントの乗っ取り攻撃が行われているというもの。Malwarebytesは、執筆者のPieter Arntz氏の友人であるPeace氏がこの攻撃に巻き込まれたとして、Peace氏の不満を交えて解説している。
Peace氏に降り掛かったこの災難は、まずLinkedInからパスワードのリセットを要求するショートメッセージサービス(SMS: Short Message Service)を受け取ることから始まった。彼はこのような要求をしていないためアカウントの確認を行ったところ、テキサスの不明なIPから継続して不正にログインしている記録を見つけたという。
不満1 - 彼は不正にログインしている何者かを強制的に退場させようとするが、お約束の「これらのセッションからサインアウト」という選択肢がいくら探してもない(この時点ではLinkedInにこの機能はない)。
不満2 - 彼はどうにかしてこの何者かを強制的退場させようと、パスワードの変更や、多要素認証(MFA: Multi-Factor Authentication)の設定の変更を行う。これら作業によって何者かに認証を再度強制させて退場させたかったようだが、LinkedInにはそのような仕組みはない。
不満3 - 最終手段として彼はサポートに連絡する。だが、LinkedInのサポートはすでにパンク状態とみられ、返信には3、4日かかったという。
その後、不正な人物はサポートの対応により強制退場させられ、Peace氏は難を逃れたとのこと。だがこの数日間は大変不快な思いをしたであろうことは想像に難くない。もし間違って最初のショートメッセージサービスに応じてパスワードリセットを行っていたら、アカウントは乗っ取られていたのだろう。被害がなく幸いであった。
この話には不可解な点がある。それは多要素認証を設定していたのにログインされたこと。攻撃者がパスワードリセットを要求していることから、パスワードを知らないのにログインされていた可能性がある。これより、LinkedInにセキュリティ上の脆弱性があるのではないかと考えられる。
Malwarebytesによるとこの事件の後、LinkedInに個々のセッションを終了するオプションが追加されたという。この機能についてMalwarebytesが簡単なテストを行ったところ、期待通りに機能していないとみられており、後日詳細を説明する予定としている。