ITmedia NEWS > STUDIO >
セキュリティ・ホットトピックス

Twitter大規模乗っ取り、ターゲットは130人、偽ツイートは45人、「Twitterデータ」をダウンロードされたのは8人──公式発表

» 2020年07月18日 18時40分 公開
[佐藤由紀子ITmedia]

 米Twitterは7月17日の午後9時ごろ(現地時間)、15日に発生した著名人のアカウント乗っ取り・詐欺ツイート事件についての現状報告を公式ブログにまとめた。

 twitter ブログの署名は「@Twitter」

被害規模

 同社は前回の報告で、攻撃の対象になったのは認証済み(青バッジ)アカウントを含む130人だとしていた。ブログではさらに、攻撃者はこれらの130のアカウントから電子メールアドレスや電話番号を入手できたことと、攻撃によってアカウントを乗っ取られ、偽のツイートを投稿されたアカウントは45件あり、最大8アカウント(非青バッジのみ)から攻撃者が「Twitterデータ」をダウンロードした形跡があることを説明した。対象となったアカウントには既に直接連絡済みという。

 Twitterデータには、過去のツイートだけでなく、DM(ダイレクトメッセージ)なども含まれる。DMはE2EE(エンドツーエンドの暗号化)はされていないので、攻撃者はこれを読めてしまう。

経緯

 Twitterは、「攻撃者はソーシャルエンジニアリングを介して特定の従業員を標的にした」と以前の説明を繰り返し、さらにソーシャルエンジニアリングを「特定のアクションにより、機密情報を漏らすよう人々を意図的に操作すること」と説明した。

 「攻撃者は少数の従業員を巧みに操作し、その従業員の権限を使ってTwitterの内部システムにアクセスした。攻撃者は社内サポートチームだけが使えるツールを使って130のアカウントにアクセスした」という。攻撃者がどのようにして「従業員を操作」し、何を盗んだかについてはまだ調査中だ。

行っている対策

 Twitterは15日、攻撃に気付いてすぐに乗っ取られたアカウントをロックし、制御は取り戻した。また、攻撃者によるアクセスを防ぐため、内部システムへのアクセスを保護した。

 また、攻撃拡大の予防措置として、多くのアカウントの機能を制限(ツイートやパスワード変更の防止など)し、最近パスワードが変更されたアカウントの一部をロックした。発表時点でほとんどのアカウントのロックは解除したとしている。

 今後については、引き続き事件の調査と法執行機関との協力を続け、今後の攻撃を防ぐためにシステムを強化する。

 また、ソーシャルエンジニアリング対策として、全社的な従業員のトレーニングを実施する計画だ。

 「(この件について)われわれは恥ずかしく、落胆しており、なにより申し訳なく思っている。皆さんの信頼を取り戻すためには懸命に努力しなければならないと理解している。(中略)われわれの透明性と攻撃からサービスを守るためのわれわれの今後の取り組みが、皆さんの信頼を取り戻すためのスタート地点になることを願っている」

Copyright © ITmedia, Inc. All Rights Reserved.