カテゴリー
ネットの事件

「あなたの友達を助けて」でFacebookアカウントを乗っ取る攻撃

Accessnow が新種のフェイスブック乗っ取り攻撃の流行を警告しています。

今回流行している手法は、Facebook のヘルプにもある、「信頼できる連絡先」を使ったアカウントへのアクセス回復機能の真似をするというもの。

これは、Facebook 上で選んでおいた信頼できる友人/連絡先の協力を得て、パスワード忘れなどの時にアカウントに再アクセスするというものです。今回の攻撃は、この機能を使っている「かのように」見せかけることで別の重大な情報を奪取しようとします。

手順が図で紹介されています。

  1. 攻撃者はまず、ターゲットの知り合いのアカウントを(例えば今回の手法で)乗っ取ります
  2. 次に、ターゲットのアカウントの復活を Facebook 上で申請します
  3. Facebook は2段階認証のため、ターゲットに SMS を送ります
  4. 同時に、(1の)ターゲットの知り合いアカウントから、「アカウント復活にそのコードが必要」とメッセージします
  5. ターゲットは、SMS のコードが(自分のアカウントの再設定用ではなく)知り合いのアカウントを復活させるために必要と信じ、コードをその友人にメッセージします
  6. 攻撃者は SMS のコードを使ってターゲットの Facebook アカウントを奪取できます
  7. 攻撃者は、乗っ取ったターゲットのアカウントを使ってターゲットの知り合いに1.から同じ攻撃を繰り返します

今はまだ英語による攻撃が流行しつつある状態だそうですが、同じことは日本語でも当然できてしまうので、近いうちに同様の攻撃が届くかもしれません。

信頼できる連絡先を使ってのアカウント回復では、数名の友人にバラバラにコードが送られて繋げて使うのですが、回復に使うコードがどんなものか知らなかったり、以前に経験していても忘れてしまったりするでしょうから、友達からタイミング良く偽メッセージが来たら、うっかり教えてしまう人もいるでしょうね。

知ってると知ってないでは騙されやすさもかなり違うと思うので紹介しました。

カテゴリー
PHP

ワードプレスのインポートツールで警告が消えない問題

WordPress のサーバ再構築をする必要があり、標準のXMLエクスポート形式であるWXRファイルを読み込ませたところ、最新のWordPressを使っているのにも関わらず以下のような警告が出てきます。

( ! ) Strict standards: Declaration of WP_Import::bump_request_timeout() should be compatible with WP_Importer::bump_request_timeout($val) in C:\Users\akky\OneDrive\services\akimotojp\blog\wp-content\plugins\wordpress-importer\wordpress-importer.php on line 38

wordpress-importer-caution

バグ報告もされているのですが、これがなんと2年も前のもの。ずっと直ってないというわけです。

直し方がわかってないわけではなく、現時点のバージョンなら、wp-content/plugins/wordpress-importer/wordpress-importer.php 1110行目の

function bump_request_timeout() {

function bump_request_timeout($unused) {

などとするだけです。

わかってるなら配布してるオリジナルを直してよ、と思うところですが、バグチケットの中でリード開発者により「まれにしか使わないインポートの警告を消すためだけに、500万人の管理者にアップデートさせるのは『アップデート疲れ』(update fatigue)もあるのでやりたくない」という結論が出されていました。

そして、他の重要な修正も入るなら喜んでプラグインの更新を掛けるよ、と、未解決のインポート周りのチケットリストを紹介することで返答を結んでいます。

そんなに気になるなら他の重要なバグ直せば一緒に直るよ、なんていう返しもあるのかあ、と変なところで感心しました。

インポート機能を全員が使うわけではない、というのは確かにその通り。インポート作業をするぐらいの利用者なら警告の意味も読めるし、これが実害のない警告に過ぎないこともちょっと検索すればわかるかもしれません。

しかしそれでも、推奨された最新バージョンを使って、標準で動かして警告が出てしまうのは、それこそ500万ユーザーを誇るならカッコ悪いように思うですが。警告を見た人の多くはそれが何かを調べ、対処するなり無視するなり判断するという時間を取られていますし。

WordPress Importerプラグインの一番新しいバージョンも5ヶ月前に出ており、このチケットが切られた2年前より後に修正を含めるタイミングはあったみたいだし。

# 他にStrict Standardsを外すという解決法もなくはないですが、PHP 7 も見えているこの時期にそんなことをするのは当然オススメできません。