我々はこうしてだまされた――Twitterハッキングの被害企業が手口を公表

Twitterアカウント乗っ取りの被害に遭ったOnionが、従業員が詐欺メールにだまされて次々にアカウントを乗っ取られるに至った経緯を公表した。

[鈴木聖子，ITmedia]

　米パロディニュースサイト大手の「Onion」が、Twitterのアカウントを乗っ取られ、不正なツイートを投稿されるに至った経緯をブログで公表している。原因は一部の従業員がフィッシング詐欺メールにだまされて、Google Appsのアカウント情報を入力してしまったことにあるという。

　Onionのアカウントは米国時間の5月6日ごろ、「シリア電子軍」（SEA）を名乗る集団に乗っ取られ、不正なツイートを掲載された。SEAは米AP通信や英有力紙Guardianなど、大手マスコミのTwitterアカウントが乗っ取られた事件でも犯行声明を出している。

　Onionの場合、発端は5月3日ごろに複数の従業員に届いたフィッシング詐欺メールだった。このメールは国連難民高等弁務官事務所を思わせる「unhcr.org」のアドレスから届いたように見せかけてあり、「この記事は大切なのでぜひお読みください」として、Washington Post紙の記事へのリンクを装ったURLを参照するよう促す内容だった。

Onionが公開したフィッシングメールの内容（※一部を加工しています）

　このリンクは、実際にはWashington Postとは無関係のWebサイトにつながっており、クリックすると、Google Appsのログイン情報入力を促す画面にユーザーを誘導。少なくとも1人の従業員がこれにだまされてしまったという。

　攻撃側はこの従業員のアカウントに侵入し、6日未明、このアカウントからOnion社内のほかの従業員にあてて、同じ内容のメールを送信。受信した従業員の多くは、送信元が信頼できるアドレスだったことからリンクをクリックし、そのうち2人は自分のログイン情報を入力してしまった。うち1人が、Onionの全ソーシャルメディアのアカウントへアクセスできる権限を持つ人物だったという。

　同社はアカウントへの不正侵入が発覚した時点で全社員にメールのパスワード変更を呼び掛けた。これに対して攻撃側は、乗っ取りに気づかれていない複数のアカウントを使って詐欺メールを送信し、パスワードリセット用のページに見せかけたリンクをクリックするよう仕向けたという。

　この第3波の攻撃で、さらに少なくとも2つのアカウントが乗っ取られ、そのうちの1つが、Twitterアカウントのハッキングに使われた。乗っ取られたアカウントは全部で少なくとも5件に上ったという。

　Onionは今回の事件について、「SEAは複雑な攻撃手段は使っていない。これまでのハッキングは全て、単純なフィッシング、あるいは辞書攻撃（頻繁に使われる語句でログインが成功できるかを試す攻撃）の結果であり、単純なセキュリティ対策によって防止できたはずだった」と振り返る。

　この教訓をもとに、同社が呼び掛けている対策は以下の通り。

• ユーザーを啓発し、ログインを促すリンクは送信者を問わず疑ってかかるよう教育する
• Twitterアカウント用の電子メールアドレスは、その組織の通常の電子メールとは切り離されたシステム上に置く
• Twitterのアクティビティは全て、例えばHootSuiteのようなアプリ経由で行う
• 可能であれば、会社のメール以外で社内の全ユーザーに連絡できる手段を確保する