サイバーセキュリティと現実社会が融合した、ハッキングされた Airbnb アカウントを使って部屋の備品を盗む事件が発生しています。BBC が最近、攻撃者が「認証済み」 Airbnb アカウントを乗っ取って宿泊を予約して、家の物品を持ち出したいくつかの事件を調査しました。

Courier Mail とのインタビューで、Airbnb の CTO である Nathan Blecharczyk 氏は、アカウントの乗っ取りで最も一般的なのは、「パスワードダンプ」やフィッシング攻撃で不正取得した認証情報を使用する方法だと考えられると述べました。アカウントの有効な認証情報を不正取得することで、攻撃者は、自らの身元を知られることなく、そのアカウントを使って部屋を予約できます。

Airbnb はこのような犯罪への対抗手段として、多要素認証のサポートを開始し、アカウントが新しいデバイスや場所からログインするたびに、ワンタイムパスワード（OTP）を含むテキストメッセージを使用して認証する方法を導入しました。また、アカウント情報の変更を通知する機能も追加されました。

パスワードダンプで取得した認証情報を使用したアカウントの乗っ取りは、多くの攻撃者が古くから使用してきた手口です。たとえば、2012 年の Dropbox からのデータ流出は、同社の従業員が会社のアカウントと LinkedIn のアカウントのパスワードを同じにしていたために発生しました。オンラインアカウントごとに一意のパスワードを使用すれば、潜在的なデータ流出のリスクが低下します。LastPass や KeePass などのパスワードマネージャを利用すると、一意のパスワードを簡単に管理できます。

フィッシング攻撃も、よく使われる手口です。迷惑メールのメッセージには常に注意し、Web リンクをクリックする際は、必ずリンク先を確認ください。

オンラインアカウントで多要素認証を利用できる場合は、必ず使用します。多要素認証を選択しておけば、攻撃者にパスワードを知られてしまった場合も、被害者になるのを防ぐことができます。
– Marc Laliberte