マイキー・キャンベル
· 1分で読めます
ツイッター社は木曜日、多数の著名人のアカウントにビットコイン詐欺が投稿された前例のない侵入事件で、パスワードがアクセスされた証拠は見つからなかったと発表した。
マイクロブログ企業は、水曜日と木曜日に一連のツイートとサポート投稿で、ハッキングの特定と封じ込めに向けた取り組みを記録した。最新情報によると、この攻撃でパスワードが漏洩したことはないという。
Twitterは「攻撃者がパスワードにアクセスしたという証拠はありません。現時点ではパスワードをリセットする必要はないと考えています」と述べた。
Twitterは、詐欺投稿の蔓延を食い止めるため、Apple、Binance、Coinbaseといった著名企業のアカウントに加え、イーロン・マスクやジェフ・ベゾスといった著名人のアカウントもロックした。水曜日には、Twitterが状況を評価している間、認証済みユーザーのツイートが一時的に停止された。
この詐欺キャンペーンは複数のアカウントを標的とし、フォロワーから10万ドル以上を騙し取った。Twitterは攻撃者がどのようにしてアカウントを乗っ取ったのかをまだ明らかにしていないが、Viceとブライアン・クレブスによる調査では、同社の社内管理ツールがハッキングに重要な役割を果たした可能性が示唆されている。
Viceによると、ソーシャルエンジニアリングと少なくとも1人の従業員への賄賂によって、ハッカーは管理パネルへのアクセスを許可されたという。このツールはアカウントのメールアドレスを変更するために使用され、標的のプロフィールを制御できたとされている。
クレブス氏は木曜日の報告書で、この攻撃の背後にはSIMスワップコミュニティのメンバーがいると示唆した。影響を受けた「OG」アカウント「@6」の現在の所有者を引用し、報告書はTwitterのツールを使えば、所有者に通知することなく、あらゆるTwitterアカウントのメールアドレスを更新できると主張している。攻撃者は、2段階認証が有効になっている場合でも、それを無効にして自由に投稿できるようになる。
Twitterはパスワードは安全だと考えているものの、ダイレクトメッセージの履歴といった他の潜在的なプライバシー侵害についてはコメントしていません。ダイレクトメッセージへのアクセスに加え、メッセージングサブシステムへの侵入に成功すれば、ハッカーは偽の口実でユーザーの連絡先に直接連絡を取ることも可能になります。
