米Xは1月10日(現地時間)、米証券取引委員会(SEC)の公式アカウントが侵害された件について、予備調査を完了したとポストした。
このポストで、SECアカウント乗っ取りの原因は「Xのシステムへの侵害によるものではない」とし、攻撃者はSECに関連付けられた電話番号の乗っ取り、いわゆるSIMスワップでSECのXアカウントを乗っ取ったと説明した。
SIMスワップは、乗っ取った携帯番号で通信事業者にSIMカードを作らせ、そのSIMで不正ログインを行う攻撃だ。2要素認証を設定していても、SMS利用の場合はこの攻撃を回避できない。
Xは、SECのアカウントが2要素認証が設定されていなかったとし、ユーザーに2要素認証の設定を促した。
乗っ取られたSECアカウントが9日にビットコインの上場投資信託(ETF)を承認したという偽情報をポストしたため、ビットコインが一時急騰した。SECは数時間後にこのポストを削除し、ETFを承認していないとポストした。
SECは10日、ビットコインのETFを承認したと正式に発表したが、本稿執筆現在、公式Xアカウントではこの発表についてポストしていない。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR