実際にどんな感じで不正Tweetがされたのでしょうか。各社記事およびTwitter上に出ていた情報から少し拾ってみると以下の感じでした。
文面の多くは、「1000ドル相当のビットコインを送金してくれれば、2000ドル相当にして送り返します」というTweetです。”30分以内”と言う、どこぞやの通販番組でよく聞くフレーズに騙された、あるいは公式アカウントが故の信頼に騙された方は、色々と思う所があるのではないかと思います。
※Repoblicworld.com記事より引用
※Bloomberg記事より引用
※BBC記事より引用
※Twitter投稿より引用
※Twitter投稿より引用
文面は少なくても2パターン(多少アレンジ有)あり、上記以外では「CRYPTOFORHEALTH.COM」に誘導する様な投稿がされていました。
各社報道及びTwitter上で侵害されたと報じられていた主なアカウントは以下の通りです。著名人アカウント以外は、集中的に仮想通貨に関連するアカウントが狙われていた事がわかります。
■侵害された事が疑われる主なTwitterアカウント
※Twitter投稿より引用
※7/17 PM追記 約130以のアカウントが乗っ取られ、FBIが捜査中(ロイター記事)
一方で、侵害を受けた側のTwitterサポートアカウントでは、事件の原因まで含めて、状況を逐次報告していました。ハッキングされた事はともかく、5回に渡るインシデント状況のTweet(発表)の仕方については、学ぶべき点が多いかも知れません。
Twitterのアカウントに影響を与えるセキュリティインシデントを認識しています。現在調査中であり、修正に向けて対策を講じています。私たちはすぐに皆を更新します。(機械翻訳)2020/7/16 AM 6:45
このインシデントを確認して対処している間は、ツイートしたりパスワードをリセットしたりできない場合があります。(機械翻訳)2020/7/16 AM 7:18
ほとんどのアカウントは再度ツイートできるはずです。修正に引き続き取り組んでいるため、この機能は消えていく可能性があります。できる限り迅速に通常の状態に戻すよう取り組んでいます。(機械翻訳)2020/7/16 AM 9:41
調査はまだ進行中ですが、これまでにわかったことは次のとおりです。 (機械翻訳)2020/7/16 AM 11:38
一部システムとツールへのアクセス権を持つ従業員の一部を標的にした人々による、調整されたソーシャルエンジニアリング攻撃であると私たちが信じるものを検出しました。(機械翻訳)2020/7/16 AM 11:38
私たちは、彼らがこのアクセス権を使用して、多くの視認性の高い(確認済みを含む)アカウントとツイートを管理していたことを知っています。 Googleでは、ユーザーが行った可能性のある他の悪意のあるアクティビティや、ユーザーがアクセスした可能性のある情報を調査しており、ここでさらに詳しく共有します。(機械翻訳)2020/7/16 AM 11:38
インシデントに気づいた後、影響を受けたアカウントを直ちにロックダウンし、攻撃者が投稿したツイートを削除しました。(機械翻訳)2020/7/16 AM 11:38
また、検証済みのすべてのアカウント(侵害された形跡のないものも含む)のように、はるかに大きなアカウントグループの機能を制限しました。(機械翻訳)2020/7/16 AM 11:38
これは破壊的でしたが、リスクを軽減するための重要なステップでした。ほとんどの機能が復元されましたが、さらに措置を講じる場合があります。その場合は更新されます。(機械翻訳)2020/7/16 AM 11:38
侵害されたアカウントをロックしました。安全に実行できると確信した場合にのみ、元のアカウント所有者へのアクセスを復元します。(機械翻訳)2020/7/16 AM 11:38
社内では、調査が行われている間、内部システムとツールへのアクセスを制限するために重要な措置を講じています。調査が進むにつれて、さらに更新が行われます。(機械翻訳)2020/7/16 AM 11:38
パスワードとアカウントアクセスに関してよく聞いた質問に対処するための更新があります。(機械翻訳)2020/7/17 AM 4:18
攻撃者がパスワードにアクセスしたという証拠はありません。現在、パスワードを再設定する必要はないと考えています。(機械翻訳)2020/7/17 AM 4:18
十分な注意を払い、昨日のインシデント対応の一環として人々のセキュリティを保護するために、過去30日間にアカウントのパスワードを変更しようとしたアカウントをロックする措置を講じました。(機械翻訳)2020/7/17 AM 4:18
追加のセキュリティ対策の一環として、パスワードを再設定できなかった可能性があります。まだロックされているアカウント以外は、今すぐパスワードをリセットできるはずです。(機械翻訳)2020/7/17 AM 4:18
アカウントがロックされている場合でも、必ずしもアカウントが侵害またはアクセスされたという証拠があるわけではありません。これまでのところ、これらのロックされたアカウントのごく一部のみが侵害されたと考えていますが、まだ調査中であり、影響を受けた人に通知します。(機械翻訳)2020/7/17 AM 4:18
積極的にロックされた場合でも、できるだけ早くアカウントにアクセスできるよう支援するよう取り組んでいます。正当な所有者にアクセスを許可していることを確認するために追加の手順を取っているため、これにはさらに時間がかかる場合があります。(機械翻訳)2020/7/17 AM 4:18
私たちは24時間体制で作業しており、今後もここで更新情報を提供していきます。(機械翻訳)2020/7/17 AM 4:18
侵害を受けた原因についてTwitter側は、
一部システムとツールへのアクセス権を持つ従業員の一部を標的にした人々による、調整されたソーシャルエンジニアリング攻撃であると私たちが信じるものを検出しました。(機械翻訳)2020/7/16 AM 11:38
ソーシャルエンジニアリングが主原因だったと書いています。一方で、一部海外報道では「内部犯行」も疑われている様な書き方をしている記事もありました。
また、対策として書かれている事に、この事件のもう1つの原因が示唆されていると感じました。(以下、根拠はありません)
社内では、調査が行われている間、内部システムとツールへのアクセスを制限するために重要な措置を講じています。調査が進むにつれて、さらに更新が行われます。(機械翻訳)2020/7/16 AM 11:38
それが、管理者アクセスが(恐らく)2段階認証が取られてなかったか、2段階認証部分まで含めて中間窃取されていた事です。そうでなければ、外部からのアクセス制限(ツールへのアクセス制限)を、対策として持ってこないと思うからです。
Twitter上では内部ツール画面と思わしきスクリーンショットがUPされてはTwitter側に消されている様です。(違う見方をすれば、スクリーンショットが本物である可能性が高いとも言えます)
MotherBoardの記事にスクリーンショットが掲載されていましたので(記事を読むとハッカー側から共有された様です)、引用しますが、
この様な内部ツールにまで、ハッカーに侵入された可能性が高い様です。
今回侵害を受けたアカウントの1つBinanceと思わしきアカウント画面も記事にあり、上記の管理画面が本物である可能性が高いと感じます。
特権ユーザに対する、ソーシャルエンジニアリングの手法については、流石に影響範囲が大きかったので、Twitter社から今後追加情報が出てくる気がしますが、ここまでたどり着けてしまった事から考えると、やはりTwitter社の特権IDの守り方の部分に(潜在的な)脆弱点があったのは間違いない様です。
因みに、12万ドル相当の送付されてしまったビットコインですが、一部の取引所が自身のTwitterアカウントが標的にされた後に、支払いをブロックしたので、被害が限定的で収まる可能性もある様です。
※バフェット氏の名言に「波が引いた時に初めて誰が裸で泳いでいたか分かる」という言葉がありますが、1000ドル詐欺に引っかかった方は、この言葉を噛み締めているかも知れません。
余談です。侵害を受けたとされるApple、ですが、なんと投稿数が0ツィートになっていました。これも事件の影響かも知れません。
バフェット氏のアカウントも、今回乗っ取られたと報じられていますが、彼のフォロワーには少し驚きだったかも知れません。2016年が最終投稿だったのに、いきなりBITCOIN詐欺のTweetが出された訳ですから。
※総Tweet数10・・170万人のフォロワーが何を期待しているのか、私にはそちらも謎ですが。
更に余談ですが、アカウント乗っ取りを受けた米国大統領選民主党の候補者ジョー・バイデン氏は自身のTwitterで、「ビットコインを持っていないので、送ってくれるように頼むことはありません。」と述べた後で、自身の支持に結びつける文章を続けるという、強かさを感じるコメントをTweetしています。トランプ氏にはやはり強敵になる予感がします。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴