ITmedia NEWS > STUDIO >
速報
» 2020年07月31日 13時25分 公開

Twitter大規模乗っ取り、従業員への「スピアフィッシング」で内部システムにアクセス

Twitterで7月15日に発生した著名人アカウントの大量乗っ取り・偽ツイート事件の手口は、従業員への「スピアフィッシング攻撃」だったとTwitterが説明した。「特定の従業員に判断を誤らせ、人間の脆弱性を悪用して内部システムにアクセス」したとしている。

[佐藤由紀子,ITmedia]

 米Twitterは7月30日(現地時間)、15日に発生した著名人アカウントの大量乗っ取り・偽ツイート事件の調査の経過報告を行った。攻撃の手口は従業員へのスマートフォンによる「スピアフィッシング攻撃」だと説明した。

 twitter

 スピアフィッシングとは、特定の人物に狙いを定めて攻撃するフィッシングだ。攻撃者は標的にする人物に関する情報を事前に集め、精巧な「えさ」を準備する。

 Twitterは「この攻撃は、特定の従業員に判断を誤らせ、人間の脆弱性を悪用して内部システムにアクセスするという巧妙で協調的な手口によるものだ」と説明した。例えば、従業員になりすまして標的とする内部システムへのアクセス権を持つ従業員と親しくなり、何らかの「えさ」と引き換えに資格情報を見せてもらったのかもしれない。「これは、われわれのチームの各個人がわれわれのサービスを守るためにいかに重要であるかを印象づけた」という。

 同社はまた、前回の経過報告では8アカウントから「Twitterデータ」がダウンロードされたとしていたところを、7アカウントに訂正した。

 Twitterは、この事件後、従業員によるデータへのアクセスレベルについての懸念が高まったことを受け、アカウントサポートのための独自ツールがあるが、このツールへのアクセスは厳しく制限されていると説明した。今回の事件を受け、これらのツールをさらに高度化する方法について鋭意検討しているという。

 調査完了まで、内部ツールへのアクセスを大幅に制限しており、そのためデータダウンロード機能と「Twitterデータ」へのアクセス機能がいまだ制限されており、開発者プラットフォームへの対応が遅くなっているとし、こうした遅延について謝罪した。

 この事件は、15日にビル・ゲイツ氏、イーロン・マスク氏、バラク・オバマ氏など多数の著名人が突然ビットコイン詐欺ツイートを投稿したというもの。攻撃者はまだ判明しておらず、現在米連邦捜査局(FBI)が捜査中だ。

Copyright © ITmedia, Inc. All Rights Reserved.