Twitter社の従業員が、ソーシャルネットワークの内部システムへのアクセスを攻撃者に提供するように操作されていたことを、同社は最近のビットコイン詐欺に関する調査の最新情報で明らかにした。この詐欺はAppleを含む著名なアカウントに影響を与えた。
金曜日遅くに公開されたこのアップデートには、Twitterのセキュリティチームが7月15日に発生したと考えている事象の詳細が記載されている。この事象では、フォロワー数の多い複数のTwitterアカウントが、アカウントの読者からビットコインの支払いを受けることを目的としたツイートを投稿した。
Twitterの事件概要は、何らかのソーシャルエンジニアリングが試みられたという初期の報道を裏付けているように思われます。同社は、攻撃者が「特定のTwitter従業員」を標的とし、少数の攻撃に成功したと考えています。この攻撃で取得された認証情報は、Twitterの2段階認証の突破を含む、社内システムへのアクセスに使用されました。
Twitterは、今回のアップデート時点で、攻撃の標的となったアカウントは130件のみと推定しており、その中にはAppleや、テスラのイーロン・マスク氏、Amazonのジェフ・ベゾス氏といった著名人が含まれていた。45件のアカウントについては、攻撃者は「パスワードのリセットを開始し、アカウントにログインし、ツイートを送信」することができた。
最大8つのアカウントは、攻撃者が「Your Twitter Data」ツールを使用してアカウントとユーザーに関する詳細情報を取得するという追加手順も踏まれました。興味深いことに、この攻撃を受けた8つのアカウントはいずれも認証済みアカウントではありませんでした。
攻撃の発覚後、Twitterのインシデント対応チームは、更なる被害を防ぐため、システムへのアクセスを確保し、無効化しました。また、調査が進行中の間、「攻撃者が詐欺行為をさらに拡大するのを防ぎ、新たなアカウントを乗っ取るのを防ぐため」、アカウントのツイートやパスワード変更を禁止するなど、予防措置も講じました。
複数のチームが法執行機関と連携して24時間体制で捜査に取り組んでおり、Twitterがセキュリティを強化するために実施する必要がある長期的な対策を決定しているという。
AppleのTwitterアカウントから削除されたツイート
攻撃者がアクセスできた情報に関して、Twitterは「大多数」のアカウントの個人情報はアクセスされなかったと見ている。既知の130アカウントについては、以前のアカウントのパスワードは平文で保存されておらず、ツールでも閲覧できなかったため、攻撃者はパスワードを確認できなかったとTwitterは把握している。しかし、メールアドレスや電話番号などの個人情報は閲覧できたという。
Twitter社は、今回の侵害によって「影響を受けたアカウント所有者と直接コミュニケーションをとることに積極的に取り組んでいる」と主張している。
Twitter社は、依然としてロックされているアカウントへのアクセスを回復し、調査を継続し、システムのセキュリティを強化するとともに、「ソーシャルエンジニアリング戦術に対抗する」ための全社的なトレーニングを開始し、オンボーディングで受けたトレーニングや定期的な自主的なフィッシング演習をさらに強化していく予定だ。
「私たちは、サービスをご利用いただく皆様、そして社会全体に対する責任を痛感しています」と、アップデートは謝罪文で締めくくっています。「皆様の信頼を取り戻すために努力する必要があることを認識しており、加害者を裁きにかけるためのあらゆる努力を支援します。」
アップデートは、「このプロセス全体を通じての当社のオープン性と透明性、そして将来的に他の攻撃から保護するために講じる措置と取り組みが、この状況を正す第一歩となることを願っています」で締めくくられています。
![アップルマップの「評価と写真」機能が米国でデビュー [u]](https://aaaaaa.com/images/appleinsider.com/68/60/appleinsider_staff.webp)
