米証券取引委員会(SEC)のX公式アカウントが乗っ取られて偽情報がポストされた事件が発生した。Xではこれ以前から公式アカウントの乗っ取りや暗号通貨詐欺が横行しており、情報操作に簡単に利用されかねないSNSの危うさを見せ付ける事件となった。これらの攻撃を仕掛けているのは何者なのか。どんな対策を講じるべきなのか。
「本日、SECはビットコインETFの上場を承認しました」。この投稿がSECのX公式アカウントにポストされたのは米国時間の1月9日だった。SECのゲンスラー委員長のコメントまで顔写真付きで添えられた、もっともらしい内容だった。
しかしSECがビットコインETFの上場承認を発表したのは翌10日。9日の投稿は、アカウントが乗っ取られて掲載された偽情報だった。問題の投稿は30分以内に削除されたが、ビットコインの価格はたちまち急騰。「それを知っていた者は、相当の利益を得た可能性がある」とサイバーセキュリティ企業の米Malwarebytesは推測する。
Xによると、SECの「@SECGov」アカウントは、同アカウントに関連付けられた電話番号の乗っ取り、いわゆるSIMスワップの手口で乗っ取られていた。何らかの手段でSECアカウントの電話番号を知った攻撃者は、携帯電話会社をだましてこの番号を自分たちのSIMカードに移転させる手口で乗っ取ったと思われる。電話番号を乗っ取れば、ショートメールで届く2要素認証コードを傍受して、アカウントのパスワードをリセットできる。
もっともSECのXアカウントは2要素認証さえ設定されていなかったらしい。
実はSECのアカウントが乗っ取られる以前から、Xでは各国の政府機関や企業の公認アカウントが次々に侵害され、暗号通貨をだまし取る詐欺の手口などに利用されていた。
中でも目を引いたのは、Google傘下のサイバーセキュリティ企業の米MandiantのXアカウント乗っ取りだった。同アカウントは1月3日、暗号ウォレット「Phantom」を装ってユーザーから暗号通貨を盗むフィッシング詐欺ページのリンク拡散に利用された。
Mandiantはこの攻撃について1月10日、パスワードを総当たりで試す「ブルートフォースパスワード攻撃だったと思われる」とポスト。被害に遭ったアカウントは2要素認証が設定されていたといい「通常であれば2要素認証で回避できたはずだが、チームの移行とXの2要素認証ポリシー変更が原因で、適切に保護されていなかった」と釈明している。
Xは2023年3月に2要素認証に関するポリシーを変更し、無料ユーザーはショートメールを使った2要素認証が利用できなくなった。Mandiantのアカウントはゴールドの有料認証マークを獲得していないことから、その影響を受けた可能性もある。
Mandiantによれば、XやDiscordなどのSNSでは2023年12月ごろから、暗号通貨のソラナをだまし取ろうとする攻撃が横行していたという。
攻撃者はPhantomなど正規の情報源を装い、フィッシング詐欺ページのリンクを投稿していた。ユーザーが問題のページを開くと「Drainer」という暗号通貨詐欺のコードが読み込まれ、被害者をだまして暗号資産を盗み出す仕掛けだった。
攻撃を実行しているのはアフィリエートと呼ばれる業者で「サービスとしてのDrainer」を運営する元締め業者から不正なDrainerスクリプトの提供を受け、被害者から盗んだ暗号資産を元締め業者に分配していた。今回の暗号通貨詐欺には少なくとも35のアフィリエートが関与していたと思われ「一連の攻撃で盗み出した暗号資産は総額90万ドル(約1億3000万円)相当以上」とMandiantは推定する。
インドのサイバーセキュリティ企業であるCloudSEKは1月3日に発表したレポートの中で、Xのゴールドバッジやグレーバッジを付与された企業や政府機関などの公式アカウントが、闇市場で高値で売買される「ゴールドラッシュ」が起きていると伝えた。
攻撃者はブルートフォース攻撃を仕掛けたりマルウェアを使ったりするなどの手段でそうしたアカウントの認証情報を盗み、フィッシング詐欺リンクや偽情報の拡散に利用しているという。
アカウント乗っ取りの被害を防ぐためには「一定期間使っていないアカウントを閉鎖し、パスワードなどの情報を盗むマルウェアの感染防止対策を徹底させる必要がある」とCloudSEKは指摘する。
2要素認証については「何もないよりはましだが、全ての2要素認証が平等に安全なわけではない。ショートメールを使った2要素認証はSIMスワップに対して脆弱なので、できれば避けた方がいい」(Malwarebytes)
Xの2要素認証は、ショートメールを使わなくても「認証アプリ」または「セキュリティキー」が選択できる。
暗号通貨詐欺については「もしも暗号通貨やNFT、ETFなどの金融ニュースが想定外のアカウントから投稿されているのを見かけたら、そのリンク先とは距離を置くこと」とMalwarebytesは呼び掛けている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR