Twitterの大規模乗っ取り犯は社内の管理ツールをハック。影響や情報漏洩は調査中

ソーシャルエンジニアリング

Ittousai
Ittousai , @Ittousai_ej
2020年07月16日, 午後 01:47 in Twitter
0シェア
FacebookTwitter
Twitter
Ittousai / Engadget

Twitter で発生した大規模なアカウント乗っ取り事件について、ツイッター社が調査の途中経過を報告しました。

日本時間の7月16日早朝に発生した事件では、アップルやイーロン・マスクなど大企業や著名人のTwitterアカウントが何者かに乗っ取られ、「新型コロナウイルス対策支援」や「社会への還元」といった名目で、「ビットコインをこのアドレスに送信すれば2倍にして返す」という露骨な仮想通貨詐欺のツイートを投稿していました。

Twitter Scam Screenshot
Screenshot / Twitter

影響を受けたのはアップルやウーバーといった大企業、イーロン・マスクやビル・ゲイツ、ジェフ・ベゾスといった企業家、カニエ・ウェストやキム・カーダシアンなど芸能人、ジョー・バイデンやバラク・オバマといった政治家、ほか多数の仮想通貨関連のアカウントを含みます。

ハッカーがアップル・ゲイツ・マスク・バイデンらのTwitterアカウントを一斉乗っ取り。仮想通貨詐欺を投稿

ツイッター社はこの事態への緊急対応として、乗っ取られたアカウントの停止と当該ツイート削除のほか、予防措置としてすべての認証ユーザーを含む多数のユーザーを一時的にツイート不能・パスワードリセット不可の状態にしていました。

現在はほぼすべてのユーザーアカウントが復旧していますが、日本では朝早かったこともあり、特に著名人や認証ユーザーでなくても何故かツイートできなかった、乗っ取りを心配してパスワードリセットを試みてもできなかったとパニックになった例もあったようです。

Twitter が多数のユーザーのツイートを一時停止、認証ユーザーが投稿不可に。一斉乗っ取り事件に対処

Twitter Scam Screenshot
Screenshot / Twitter

その後、Twitter サポート公式がツイートした経過報告によると、

犯人の手口、原因

・本日発生した大規模な乗っ取りは、ツイッター社内の管理ツールを悪用したもの。

・ツイッター従業員に対する計画的なソーシャルエンジニアリング攻撃があり、管理ツールへのアクセスを許す状態になっていた。

(ソーシャルエンジニアリングは、フィッシングなど人間を標的にしたハッキングの総称。ソフトウェアやハードウェアの脆弱性を突くのではなく、偽のメールや身内からの連絡を装うなど心理的なすきを狙うもの)

・この管理ツールへのアクセスを許したことで、情報漏洩など詐欺ツイート以外のセキュリティ侵害はあったか、影響を引き続き調査中。

Twitterの対応

・乗っ取りを認識後、当該アカウントをただちに停止。ツイートを削除。

・予防措置および調査のため、乗っ取り被害を受けていなくても、すべての認証ユーザーを含む多数のアカウントの機能を一時的に制限。多くのユーザーに影響を与えたが、必要な措置だった。(Tweetができない、パスワードリセットができない等)

・大多数のアカウントはすでに復旧しているが、今後さらなる調査や対応としてふたたび制限する可能性はある。

・乗っ取られたアカウントは停止し、安全に元のオーナーへアクセスを戻せるようになった時点で復旧させる。

・社内では、内部システムや管理ツールへのアクセスを大幅に制限。現在も調査を継続中。

今回の事件については、多くのアカウントがほぼ同時(約3時間)に乗っ取られたこと、内容が同一犯によるものと思われること、大企業や仮想通貨関連のアカウントなど一般的なセキュリティ対策を実施していると考えられる(またはそう述べている)アカウントも被害になったことなどから、Twitter側の何らかの問題が疑われていました。

Twitter によれば従業員が標的になり管理ツールへのアクセスを許した結果であり、ソフトウェアやシステムそのものの脆弱性ではないとされています。

従業員を含むツイッターサービス全体のセキュリティとしては破られているともいえますが、たとえば全サービスを長時間停止しての対策や、クライアントアプリの脆弱性、あるいはより深刻なOSの脆弱性といった問題でなかったのは不幸中の幸いです。

一方、乗っ取られたTweetは文面からして怪しい「倍返しするから送金しろ」でしたが、管理ツールが犯人の手に落ちていたならば、直球の詐欺よりもよほど恐ろしい情報漏洩などの可能性もあります。このような分かりやすい詐欺ツイートでみずから発覚させることなく、TwitterアカウントのDM等を取得していたかもしれません。犯人の正体、管理ツールへの不正アクセスの規模など、Twitterが公表すべき内容はまだあります。

 
 

TechCrunch 注目記事新型コロナのソーシャルディスタンスを支援するビデオチャットアプリ8選

新型コロナウイルス 関連アップデート[TechCrunch]
関連キーワード: Twitter, Hack, news, tomorrow, entertainment, gear
0シェア
FacebookTwitter

Sponsored Contents