Rokuは50万件のアカウントが不正アクセスされた後、ひどい形で閉鎖に追い込まれる

Roku ストリーミングスティック 4K。 — フィル・ニキンソン / デジタルトレンド

3月にセキュリティ侵害で約1万5000件のアカウントが影響を受けたことが明らかになった後、私はRokuを少し厳しく批判しました。公平を期すために言うと、この侵害は完全にRokuのせいではありません。なぜなら、クレデンシャル・スタッフィング攻撃によるものだったからです。これは、他の漏洩で入手した認証情報を悪用し、ユーザーがどこかでパスワードを使い回していることを期待して、様々なサービスで試す手法です。この攻撃は1万5000件以上のアクセス数を記録しました。

それだけで十分悪い。さらに悪いことに、Rokuにはまだ二要素認証がなかった。二要素認証があれば、犯罪者は別の認証情報を必要とし、多くの不正アクセスを防ぐことができたはずだ。

おすすめ動画

しかし、どうやら事態はそこからさらに悪化したようだ。Rokuは本日、1万5000件のアカウント侵害に関する調査で2度目の攻撃が発覚し、「約57万6000件の追加アカウントに影響」があったと発表した。（ちなみに、Rokuのアクティブアカウント数は2023年末時点で8000万件だった。）

Rokuは、最初の攻撃と同様に、「これらの攻撃で使用されたログイン認証情報は、別のオンラインアカウントなど、別のソースから取得された可能性があり、影響を受けたユーザーはそこで同じ認証情報を使用していた可能性があります」と述べています。つまり、クレデンシャルスタッフィングがさらに増加したということです。Rokuによると、これらのアカウントに紐付けられた支払い方法を使用して不正な購入やストリーミングサブスクリプションが行われたケースは400件未満でした。

これらはすべて悪いことです。実際、非常に悪いことです。（特に、実際に資金が移動した400の口座にとっては。）

Rokuがついに2FAを有効にした

この件で何か良いニュースがあるとすれば、Rokuがついに二段階認証を導入したということだ。まあ、一応は。まず、Rokuが2度目の情報漏洩を発表した投稿で述べた内容は以下の通りだ。

情報セキュリティへの継続的な取り組みの一環として、最近のインシデントの影響を受けていないアカウントも含め、すべてのRokuアカウントで2要素認証（2FA）を有効化しました。これにより、次回Rokuアカウントにオンラインでログインする際には、アカウントに関連付けられたメールアドレスに認証リンクが送信されます。アカウントにアクセスするには、メール内のリンクをクリックする必要があります。

2番目の部分が重要です。Rokuが実装している主な2要素認証は、二次認証としてリンクをメールで送信することです。何もないよりはましです。また、何らかの理由でメールにアクセスできずリンクをクリックできない場合は、デバイスIDの下5桁を入力することもできます。

Roku アカウントにログインしようとすると受信するメール。 — Rokuは、アカウントにログインしようとすると、固有の1回限りのリンクを記載したメールを送信するようになりました。フィル・ニキンソン/デジタルトレンド

選択肢がないのです。二段階認証を「マジックリンク」（企業からアクセス承認のための一時的なリンクが送られてくる）で行うのか、SMSや認証アプリ経由の時間ベースのコードを使うのか、あるいは他の方法を使うのか、選択できません。とはいえ、世界が終わるわけではありません。メールで送られてくるリンクなら、メールアカウント自体が侵害されていない限り、比較的スムーズに認証できます。

しかし、問題がないわけではありません。

2FA後のデバイスのアクティベーション

試しにRokuアカウントのパスワードをリセットしてみました。その後のログインは全て、Rokuが言っていた通り、クリックするためのリンクが記載されたメールが送られてきました。ウェブブラウザでは問題なく動作します。メールアドレスとパスワードでログインし、Rokuからクリックするためのリンクが送られてくるまで数秒待ちます。Rokuアプリへのログインも同様です。

The email received after manually entering your email address when activating a Roku device. — Rokuデバイスのアクティベーション時にメールアドレスを手動で入力した後に届いたメール。QRコードを使った場合のメールとは見た目が違うことに注目してください。フィル・ニキンソン / Digital Trends

しかし、ハードリセット後にRokuストリーミングスティックにログインしようとしたところ、問題が発生しました。解決策は2つあります。1つは、RokuデバイスがテレビにQRコードを表示する方法です。それをスマートフォンでスキャンすると、メールアドレスとパスワードを使ってログインするように求められます。とても簡単です。そして、そのログインリンクがメールで送られてきて、それをクリックしないと、アクティベートしようとしているデバイスで実際に何か操作を行うことができません。ただ、認証情報がデバイスに返されないようです。

しかし、Rokuのリモコンを使ってメールアドレスを手動で入力するオプションを選択した場合、見た目が異なるメールが送信されます。そのリンクをクリックすると、Rokuデバイスは正常に認証され、アクティベートされます。つまり、QRコードによる方法はアカウントへのログインを試みているのに対し、手動による方法はデバイスを適切にアクティベートしようとしているように見えます。

Rokuはこの部分を調査中だと言っている。

本当にイライラする部分

そんなに難しいことではありません。2要素認証自体は特に新しいものではありません。2要素認証はログイン方式に複雑さを加えることは明らかですが（Rokuの特徴はシンプルさです）、2要素認証はユーザーが長年慣れ親しんできたものでもあります。

Rokuにはいくつか改善すべき点があります。まず第一に、デバイス認証の修正が必要です。QRコード認証は単純に機能しません（幸いなことに、サーバー側で修正されるはずです）。認証方法をユーザーが選択できるようにする必要があります。ただし、導入にはもう少し時間がかかるでしょう。しかし、Rokuは何年も前に適切な2FAを導入すべきだったことを考えると、これは言い訳にはなりません。

セキュリティ対策は常に困難な戦いです。悪意のある者が攻撃に出るのは非常に簡単です。防御には費用と時間がかかります。しかし、その重要性は衰えていません。Rokuは依然として改善の余地があります。