Twitter大量乗っ取り問題、「スピアフィッシング」でアクセス権取得し侵入と判明
著名人をはじめ多数の被害が出たTwitterの大量アカウントハッキング問題は、約2週間を経てそれが従業員数名への”電話スピアフィッシング攻撃(phone spear phishing attack)”なる手法を用いて実行されたと報告しました。
スピアフィッシングは、無差別に大量のメールを送りつける通常のフィッシングとは異なり、 知人や関係者からのビジネスメールなどに偽装して特定の人物を狙うフィッシング手法。この方法では悪意ある人物が上司や同僚などを装い、機密となるような情報を返信するようターゲットに持ちかけます。今回の場合は、攻撃者は電話を介して情報を引き出したと考えられます。
By obtaining employee credentials, they were able to target specific employees who had access to our account support tools. They then targeted 130 Twitter accounts - Tweeting from 45, accessing the DM inbox of 36, and downloading the Twitter Data of 7.
- Twitter Support (@TwitterSupport) July 31, 2020
Twitterは当初、Twitterの内部向けSlackに侵入した何者かが内部の管理ツールへのアクセス権を入手してユーザーアカウントを操作しビットコイン詐欺の投稿を行ったと述べていたものの、最初の侵入がどのように行われたかは特定できていませんでした。
Twitterのサポートアカウントは30日、一連のツイートで「この攻撃が、特定の従業員に誤解を生じさせて内部システムへのアクセス情報を得ようとする重大かつ協調的な手法を使っていました」と述べています。そして、攻撃者は130アカウントをターゲットとして45件のツイートと36件のDMにアクセスし、最大で7件の情報をダウンロードした」としています。
さて、具体的な侵入方法が電話を介したスピアフィッシングだとわかったところで、本質的な問題の解決が成されたわけではありません。
Twitterは30日のブログ投稿で、今回の攻撃以降はアカウントのセキュリティを継続的に確保するため、内部ツールやシステムへのアクセスを大きく制限しており、その結果として安全だと確信できるようになるまでTwitterのデータダウンロード機能へのアクセスを一部制限しているため、開発者プラットフォームへの対応も遅れがちになっていると述べています。またロイターは先週、この内部ツールには社員や委託業者ら1000人以上がアクセスできたと伝えていました。おそらくはツールの仕組みに手を入れ、アクセス可能な人の数などを調整していると考えられます。
一方、肝心の攻撃者についてもいまだ特定には至っておらず、こちらはFBIが引き続き捜査中。ハッキングされた著名人アカウントが投稿したビットコイン詐欺にひっかかった人々の被害総額は10万ドル(約1040万円)以上とされていますが、それが人々の手に戻るかはわかりません。
source:Twitter
via:Reuters
