Twitterが前例のないハッキング被害に!従業員専用ツールが使用されたと発表

今や個人のみならず多くの著名人や企業も利用するSNSのTwitter、誰でも手軽に利用できる使いやすさから世界中で多くのユーザーが利用しているのですが、そのTwitterが前例のない大規模なハッキングに遭った事を発表しました。
Twitterでこれらの情報が公開されたのは日本時間の本日午前6時半頃からなのですが、一体どのようなハッキング被害に遭ったのでしょうか?
著名人らのアカウントをハッキング
アメリカ東部標準時の7月15日午後1時27分(日本時間の16日午前3時27分)に突然、テスラの共同設立者およびCEOであるイーロン・マスク氏のTwitter公式アカウントが突然、「今から30分間、ビットコインを私に1,000ドル支払うと2,000ドルにして返します」とツイートしました。
Twitterの公式認定マークのついた本人確認済みのアカウントの発言なので、日本の某著名人のお金配り的なアレにも見えなくはないのですが、なんと他にオバマ元大統領やApple公式アカウントなども時間をズラして同様のツイートを行なっており、これが大規模なハッキングと詐欺である事がすぐさま噂となります。
実はこのツイートを信じてビットコインを支払ってしまった人が少なくとも120人ほどいたようで、当然ながら2,000ドルの返金もされないので、このハッキングを行なった人物ないし組織はたった数十分で少なくとも12万ドル(約1,285万円)を騙し取ったとの事。
今のところこのハッキングが一時的なビットコイン詐欺のために行われたのか、それとも今後Twitterに対して行われるさらに大規模なハッキングのためのテストとして行われたのかは不明ですが、2段階認証を使っている著名人の認定済みアカウントを多数ハッキングした事実は、Twitterにとって紛れもない「前例のない大規模なハッキング」と言えます。
We are aware of a security incident impacting accounts on Twitter. We are investigating and taking steps to fix it. We will update everyone shortly.
— Twitter Support (@TwitterSupport) July 15, 2020
Twitter側はこの事実を事件発生からおよそ3時間後の15日午後4時半(日本時間の16日午前6時半)頃にハッキングと認め、「安全に復元できると確信するまで」一時的に認定済みアカウントのアクセス権限を剥奪するという例のない対策を打ち出しました。
その上でハッキングされたアカウント自体の調査やハッキング経路などの調査を行うとの事で、公式アカウントやジャック・ドーシーCEOらはTwitter上にてこのハッキング被害を詫びるとともに、何が起こったのか分かり次第できるだけ公開すると約束します。
ALL MAJOR CRYPTO TWITTER ACCOUNTS HAVE BEEN COMPROMISED.
— Cameron Winklevoss (@winklevoss) July 15, 2020
2FA / strong password was used for @Gemini account. We are investigating and hope to have more information shortly. https://t.co/X3C0uJzc6C
そして著名人アカウントのハッキングが目立って見落とされがちだったのですが、暗号通貨取引所のTwitterアカウントなども同じタイミングでハッキングされていた事が明らかとなっており、運営者はそのアカウントについて強力なパスワードと2段階認証を使用していたと説明しています。
こういった情報から、ハッカーらにとって強力なパスワードや2段階認証が意味をなしていない可能性が浮上し、さらなる調査を行なったTwitterはついにハッキングした場所がTwitter外部からのものではなく、内部のものである事を突き止めます。
Our investigation is still ongoing but here’s what we know so far:
— Twitter Support (@TwitterSupport) July 16, 2020
Twitterは事件発生から8時間後になる15日午後9時半(日本時間の16日午後11時半)頃、今回のハッキングが外部から行われたものではなく、従業員に対しソーシャルエンジニアリング攻撃が行われ、従業員専用のツールが不正使用されて行われたものだと正式発表しました。
このソーシャルエンジニアリング攻撃とはいわゆるハッキングなどとは異なり、話術をもって対象と親しくなったように錯覚させたりしてパスワードや機密情報を盗み出す手法で、要はTwitter従業員の誰かがハッカーらの話術で何かしらの重要情報を漏らし、従業員専用のツールを悪用されるに至ったようです。
この専用ツールについては2018年頃から操作画面のスクリーンショットなどが出回っており、表示内容からツールを使えばどんなアカウントにもアクセスでき、このツールで関連づけられたメールアドレスとパスワード、2段階認証の設定内容を強制的に変更され、正規の方法でアクセスされていたワケです。
この手法ではTwitterアカウントへのアクセス自体は、ハッキングなどの技術が必要になるイレギュラーな方法ではないので検知できず、なかなかTwitterが原因を究明できず一部アカウントのアクセス権限を剥奪するにまで至ったのでしょう。
前述のとおりこのハッキングや詐欺に関わった人間はまだ特定されておらず、人数や目的などもはっきりしていない事から、これから詐欺やハッキングの刑事事件として警察らによる捜査がスタートするものだと思われます。
まとめ
認証マークについては賛否あるのですが、このマークがついている事で公式として情報を信じられたり、実在する人物の本人が使用しているアカウントだと信じる基準にもなっていましたから、このようなハッキングの場合は今回のような詐欺に使用されても疑うのに時間がかかってしまうでしょう。
日本の某著名人のお金配り的なアレは実は世界的なニュースにもなっていたので、著名人の認証済みアカウントが「今から30分間、ビットコインを私に1,000ドル支払うと2,000ドルにして返します」と言われれば、信じてしまうのも仕方がなかったのかも知れませんね。