Xで横行する「アカウント乗っ取り」と「暗号通貨詐欺」 米SECも「ビットコインETFを承認」と偽投稿の被害に 対策は?:この頃、セキュリティ界隈で
米証券取引委員会(SEC)のX公式アカウントが乗っ取られて偽情報がポストされる事件が起きた。Xではこれ以前から公式アカウントの乗っ取りや暗号通貨詐欺が横行していた。攻撃を仕掛けているのは何者なのか。どんな対策を講じるべきなのか。
米証券取引委員会(SEC)のX公式アカウントが乗っ取られて偽情報がポストされた事件が発生した。Xではこれ以前から公式アカウントの乗っ取りや暗号通貨詐欺が横行しており、情報操作に簡単に利用されかねないSNSの危うさを見せ付ける事件となった。これらの攻撃を仕掛けているのは何者なのか。どんな対策を講じるべきなのか。
「本日、SECはビットコインETFの上場を承認しました」。この投稿がSECのX公式アカウントにポストされたのは米国時間の1月9日だった。SECのゲンスラー委員長のコメントまで顔写真付きで添えられた、もっともらしい内容だった。
しかしSECがビットコインETFの上場承認を発表したのは翌10日。9日の投稿は、アカウントが乗っ取られて掲載された偽情報だった。問題の投稿は30分以内に削除されたが、ビットコインの価格はたちまち急騰。「それを知っていた者は、相当の利益を得た可能性がある」とサイバーセキュリティ企業の米Malwarebytesは推測する。
Xによると、SECの「@SECGov」アカウントは、同アカウントに関連付けられた電話番号の乗っ取り、いわゆるSIMスワップの手口で乗っ取られていた。何らかの手段でSECアカウントの電話番号を知った攻撃者は、携帯電話会社をだましてこの番号を自分たちのSIMカードに移転させる手口で乗っ取ったと思われる。電話番号を乗っ取れば、ショートメールで届く2要素認証コードを傍受して、アカウントのパスワードをリセットできる。
もっともSECのXアカウントは2要素認証さえ設定されていなかったらしい。
Xで横行する暗号通貨詐欺 “無料ユーザー締め出し”に付け込む攻撃者
実はSECのアカウントが乗っ取られる以前から、Xでは各国の政府機関や企業の公認アカウントが次々に侵害され、暗号通貨をだまし取る詐欺の手口などに利用されていた。
中でも目を引いたのは、Google傘下のサイバーセキュリティ企業の米MandiantのXアカウント乗っ取りだった。同アカウントは1月3日、暗号ウォレット「Phantom」を装ってユーザーから暗号通貨を盗むフィッシング詐欺ページのリンク拡散に利用された。
Mandiantはこの攻撃について1月10日、パスワードを総当たりで試す「ブルートフォースパスワード攻撃だったと思われる」とポスト。被害に遭ったアカウントは2要素認証が設定されていたといい「通常であれば2要素認証で回避できたはずだが、チームの移行とXの2要素認証ポリシー変更が原因で、適切に保護されていなかった」と釈明している。
Xは2023年3月に2要素認証に関するポリシーを変更し、無料ユーザーはショートメールを使った2要素認証が利用できなくなった。Mandiantのアカウントはゴールドの有料認証マークを獲得していないことから、その影響を受けた可能性もある。
Mandiantによれば、XやDiscordなどのSNSでは2023年12月ごろから、暗号通貨のソラナをだまし取ろうとする攻撃が横行していたという。
攻撃者はPhantomなど正規の情報源を装い、フィッシング詐欺ページのリンクを投稿していた。ユーザーが問題のページを開くと「Drainer」という暗号通貨詐欺のコードが読み込まれ、被害者をだまして暗号資産を盗み出す仕掛けだった。
攻撃を実行しているのはアフィリエートと呼ばれる業者で「サービスとしてのDrainer」を運営する元締め業者から不正なDrainerスクリプトの提供を受け、被害者から盗んだ暗号資産を元締め業者に分配していた。今回の暗号通貨詐欺には少なくとも35のアフィリエートが関与していたと思われ「一連の攻撃で盗み出した暗号資産は総額90万ドル(約1億3000万円)相当以上」とMandiantは推定する。
Xの金バッジ、闇市場で高値売買「ゴールドラッシュ」発生中
インドのサイバーセキュリティ企業であるCloudSEKは1月3日に発表したレポートの中で、Xのゴールドバッジやグレーバッジを付与された企業や政府機関などの公式アカウントが、闇市場で高値で売買される「ゴールドラッシュ」が起きていると伝えた。
攻撃者はブルートフォース攻撃を仕掛けたりマルウェアを使ったりするなどの手段でそうしたアカウントの認証情報を盗み、フィッシング詐欺リンクや偽情報の拡散に利用しているという。
アカウント乗っ取りの被害を防ぐためには「一定期間使っていないアカウントを閉鎖し、パスワードなどの情報を盗むマルウェアの感染防止対策を徹底させる必要がある」とCloudSEKは指摘する。
2要素認証については「何もないよりはましだが、全ての2要素認証が平等に安全なわけではない。ショートメールを使った2要素認証はSIMスワップに対して脆弱なので、できれば避けた方がいい」(Malwarebytes)
Xの2要素認証は、ショートメールを使わなくても「認証アプリ」または「セキュリティキー」が選択できる。
暗号通貨詐欺については「もしも暗号通貨やNFT、ETFなどの金融ニュースが想定外のアカウントから投稿されているのを見かけたら、そのリンク先とは距離を置くこと」とMalwarebytesは呼び掛けている。
関連記事
- 米SECのXアカウントで不正ログイン ビットコインETFを承認したとする偽の発表が投稿される
米証券取引委員会(SEC)のXアカウントに何者かが不正にアクセスし、暗号資産(仮想通貨)ビットコインの現物に連動する上場投資信託(ETF)を承認したとの偽メッセージが投稿された。20分後に削除され、当局と協力して調査するとしている。 - 高校入試の出願システム、Gmailにメール届かず……神奈川県、受験生に「@gmail.com以外のアドレス使って」
神奈川県の公立高校入試のインターネット出願システムで、「@gmail.com」ドメインのアドレスにシステムからのメールが届かず、受験生が出願用アカウントを作成できない問題が起きている。 - NERV防災「X(旧Twitter)のAPI上限で自動投稿できない」 石川県能登の地震で【追記あり】
石川県能登沿岸で発生した最大震度7の自身に関連して、防災情報を発信しているアカウント「特務機関NERV」は「API上限で自動投稿できない」とX(旧Twitter)に投稿した。【追記あり】 - 島根県が使ったドメイン、第三者が再取得で注意喚起 新型コロナやRuby関連事業など
島根県が過去に使用したドメインが、運用停止後にオークションサイトで売買されるなどして第三者に再取得されていることが分かった。 - ビル点検員に変装→オフィスにラズパイ持ち込んで社内システム侵入 Sansanが本当にやった“何でもアリ”なセキュリティ演習
標的型攻撃メールから物理侵入まで、Sansanが本当にやった何でもアリなセキュリティ訓練。携わってメンバーに話を聞いた。
Copyright © ITmedia, Inc. All Rights Reserved.