Twitter大規模ハッキングから考えるソーシャルエンジニアリングの恐怖

ハッキングイメージ

Krzysztof Kamil via Pixabay

Twitterで大規模ハッキング!ビル・ゲイツやオバマ元大統領も被害

 Twitter で、アメリカ時間の7月15日夜に大規模攻撃があった。Twitter でのトラブルはよく起きているのだが、今回大きなニュースになったのは、被害を受けたのが世界的な有名人や大企業だったからだ。  有名人では、元 Microsoft 会長のビル・ゲイツ氏、Amazon CEO のジェフ・ベゾス氏、Tesla CEO のイーロン・マスク氏。元アメリカ大統領のバラク・オバマ氏、民主党大統領候補のジョー・バイデン氏、ニューヨーク市長のマイク・ブルームバーグ氏など。企業では、Apple、Uber、モバイル決済サービスの Cash App、仮想通貨取引所の Coinbase、決済システムの Ripple などだ(参照:9to5MacAppleTrack)。  これらのアカウントは、発言が乗っ取られたとなると、経済や政治に大きな影響が出る可能性がある。株価の操作もできるし、国家間の火種になることも考えられる。実際に投稿された内容は、そうした世界に影響を与えるものではなく、詐欺でお金を稼ぐものだった。「特定のアドレスにビットコインを送ってくれたら、倍にして返しますよ」といった内容だった。  見知らぬ人が、そうしたことを言いながら近づいてきたら、騙される人は少ないだろう(とはいえ、騙される人もいる)。しかし、有名人がこういったことを言い出せば、信じてしまう人の比率はぐっと増える。仮に、普段からプレゼント企画としてお金を配布している有名人が、同じ投稿をしたとしよう。多くの人が、我先にと送金してしまうのではないか。  この事件の犯人たち3人は、7月31日に逮捕された(ITmedia NEWS)。主犯はフロリダ州タンパ在住の17歳の男性。残り2人も19歳、22歳と若かった。  今回の Twitter の事件がなぜ起き、どういったことがおこなわれたのか、Twitter の公式ブログから見ていこう。

Twitter社の公式報告

 大規模ハッキングについて、Twitterは7月18日に公式ブログで報告をおこなっている(参照:Twitter)。同ページは、7月30日にも更新されている。  攻撃者は130アカウントを標的にして、45アカウントからツイートして、36アカウントのDMの受信トレイにアクセスして、7アカウントの Twitterデータをダウンロードしたそうだ。  攻撃は、電話によるスピアフィッシング攻撃(phone spear phishing attack)によって行われたと書いてある。フィッシング(phishing)詐欺という言葉は聞いたことがあるだろう。インターネット上の詐欺の一つで、成りすましなどにより、クレジットカード番号やパスワードなどの個人情報を、ターゲット自身に入力させるものだ。  スピアフィッシングは、その中でも、特定の個人や団体を標的としたものだ。不特定多数を狙うのではないため、詳細に情報を集めれば、高い精度で成功する(参照:Weblio辞書)。  最初に標的にされた従業員たちは、アカウント管理ツールを使用する権限を持っていなかったそうだ。しかし攻撃者はこの攻撃で、内部システムへのアクセスと、社内プロセスの情報を得た。その知識を利用して、さらなる従業員への攻撃をおこなった。  また今回の件は、既に訴状を読むことができる。そこには、逮捕された人たちのやり取りも載っており、知ることができる(参照:UNITED STATES DISTRICT COURT)。コミュニケーションには、 Discord も使われていた(訴状の中盤から3/4ぐらいがそのやり取り)。Discord は、元々ゲーマー向けのコミュニケーションツールだが、ゲームに限らず、コミュニティでやり取りするのが簡単だ。今回のように、犯罪の打ち合わせをカジュアルにおこなうのにも便利なのだろうと感想を持った。
次のページ
「人間という脆弱性」
1
2