2020年7月、著名なTwitterアカウントがハッキングされ、暗号通貨詐欺の投稿がされて10万ドル以上のビットコインが集まった事件から1年が経ちます。この事件では色々な憶測がされていましたが、4人目の22歳英国人の容疑者が7/21に逮捕されました。
therecord.media
キタきつねの所感
イーロンマスク氏、ビルゲイツ氏、ジョーバイデン氏、ワレンビュフェット氏ら著名人のアカウントが約130侵害されたのは衝撃的でした。
ハッキング自体は数時間で収まりましたが、ある日突然、イーロンマスク氏の公式アカウントが、「ビットコインをくれたら2倍にして返す」と呟いたら、ひっかかる人は・・・やはりいるという事を証明しました。
こちらも以前どこかの記事で見かけましたが、侵害の原因はTwitter社内部で利用していたSlackチャネルへの不正侵入で、ここ経由でTwitterの管理者資格が窃取されたのは間違いない様です。
「j0e」としてオンラインになったO'Connerは、他の3人と協力して、Twitterの内部Slackチャネルの1つにアクセスしました。このグループは、Slackの職場で、Twitterのモデレートパネルにアクセスできる資格情報を見つけました。
(The Recorded.記事より引用)※機械翻訳
コロナ禍で必要に迫られて様々な新しいツールが各企業に導入されたかと思います。そうしたツール類は、テレワーク等の新しい働き方を強力にサポートしてくれたのは事実かと思いますが、反面、その怖い部分がほとんど検証されずに導入された事を、このハッキング事件は教えてくれている気がします。
逮捕された4人は、簡単に足がつく形でTwitterアカウントハッキングからビットコイン詐欺という手段に出ましたが、これがもっと知恵のある脅威アクター(例えばランサムオペレータ)だった場合、もっと深刻なダメージを与えるシナリオに発展する事は十分に考えられたと思います。
SNSの管理者権限が奪取された場合、ユーザアカウント(ハッキングされた著名人)はSNS運営側にクレームを出す以外の手は無いのですが、アカウントは乗っ取られるかも知れないといった警戒心は常に持っておく必要があります。
しかし、もっと怖いのは会社の内部ツールへの不正侵入かも知れません。相手が見えない、または乗っ取られたアカウント保有者だと思って、内部の機密情報を窃取さえるかも知れない、この考え方(ゼロトラスト思考)で、自社の内部運用を点検する事は、先々のインシデントを防ぐ事につながるのではないでしょうか。
余談です。ハッキングに重要な役割を果たした”侵入手口”について、まだ訴訟で明らかになってはいませんが、以前Krebs氏がSIMスワッパーの可能性について指摘していました。
日本では携帯キャリア会社がしっかりしているからか、類似の事例は聞きませんが、SMS-OTPが破られる海外の手口を考えると、潜在的な脆弱性を抱えるSMS-OTPではない多要素認証への移行を、サービス事業者は検討しておくべきかと思います。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
