X、米SECのアカウント侵害はSIMスワップによるものと説明

[ITmedia]

　米Xは1月10日（現地時間）、米証券取引委員会（SEC）の公式アカウントが侵害された件について、予備調査を完了したとポストした。

　このポストで、SECアカウント乗っ取りの原因は「Xのシステムへの侵害によるものではない」とし、攻撃者はSECに関連付けられた電話番号の乗っ取り、いわゆるSIMスワップでSECのXアカウントを乗っ取ったと説明した。

　SIMスワップは、乗っ取った携帯番号で通信事業者にSIMカードを作らせ、そのSIMで不正ログインを行う攻撃だ。2要素認証を設定していても、SMS利用の場合はこの攻撃を回避できない。

　Xは、SECのアカウントが2要素認証が設定されていなかったとし、ユーザーに2要素認証の設定を促した。

　乗っ取られたSECアカウントが9日にビットコインの上場投資信託（ETF）を承認したという偽情報をポストしたため、ビットコインが一時急騰した。SECは数時間後にこのポストを削除し、ETFを承認していないとポストした。

　SECは10日、ビットコインのETFを承認したと正式に発表したが、本稿執筆現在、公式Xアカウントではこの発表についてポストしていない。