facebook social icon
x social icon
linkedin social icon
Twitterのスピアフィッシング攻撃

Twitterのスピアフィッシング攻撃で起きたこと

August 18, 20231 min read

サイバーセキュリティ

2020年に発生したTwitterのスピアフィッシング攻撃(特定の個人や団体を狙うフィッシング詐欺)により、私たちはサイバー犯罪者があらゆる手段を用いて組織に侵入できてしまうということを思い知らされることとなりました。

2020年7月15日、サイバー犯罪者はソーシャルエンジニアリングによってTwitterのシステムをハッキングし、アメリカのバイデン大統領、オバマ元大統領、ビル・ゲイツ、イーロン・マスク、カニエ・ウエスト、ウォーレン・バフェット、Apple、Uberなど、著名人のアカウントからツイートを発信しました。

以下はその時に発信されたオバマ氏のツイートです。

私は新型コロナ感染症感染拡大の現状を踏まえ、地域のコミュニティに貢献したいと考えています!以下の私のアドレスにビットコインを送れば、すべて2倍にしてお返しします。1,000ドル送れば、2,000ドル送り返します!今から30分間だけの実施です!お楽しみに。

どのツイートも似たような感じで、「 ”善をなす” という名目で、ビットコインを使って寄付を行おうと人々に迅速な行動を促す」といった内容です。‎ 

‎Twitterは、この事件を「携帯電話によるスピアフィッシング攻撃」と表現していますが、サイバー犯罪者がどのようにSNSのシステムを侵害したかの詳細については、明らかにしていません。

自身とデータを守るために、14日間の無料トライアルをぜひお試しください。

Table of Contents

    スピアフィッシング攻撃とは

    フィッシング攻撃とは、サイバー犯罪者が「なりすまし」のメッセージを送り(電話をかける場合もある)、被害者がリンクをクリックしたり、個人情報や機密情報を共有したりすることを促すもので、皆さんもよくご存知だと思います。

    ソーシャルエンジニアリングの一種であるフィッシング攻撃では、サイバー犯罪者がこのようなメッセージを大量に送り、誰が「食いつく」かを確認します。特定のターゲットがいるわけではありません。

    一方、スピアフィッシング攻撃は、さらに巧妙で標的を絞ったものであり、サイバー犯罪者は、個人または組織を調べて脆弱性を探し出します。

    ‎ ‎その「脆弱性」というのは、個人が保持している個人情報であったり、組織の内部コミュニケーション方法であったりします。そしてそのような情報があれば、犯罪者はなりすまし通信をカスタマイズして、被害者に本物だと思わせることができるのです。

    Twitterの電話によるスピアフィッシング攻撃

    セキュリティ上の理由から、Twitter は 2020年7月のスピアフィッシング攻撃がどのように起こったか、その詳細の公表を控えていますが、2020年7月30日の声明から、Twitter は電話によるスピアフィッシング攻撃が原因であったことを以下のように明らかにしています。

    2020年7月15日に発生したソーシャルエンジニアリングは、少数の従業員を標的とした電話によるスピアフィッシング攻撃でした。攻撃を成功させるには、当社の内部ネットワークと、内部サポートツールへのアクセスを許可する特定の従業員資格の両方へのアクセスを取る必要がありました。

    サイバー犯罪者は当初、Twitter のシステムにアクセスするために、電話によるフィッシング攻撃で少数の従業員をターゲットにしていたようですが、これがテキストまたは音声通話によるものであったかは不明です。

    司法省(DOJ)は公式声明の中で、「Twitterの攻撃は、技術的な侵害とソーシャルエンジニアリングの組み合わせで構成されていた 」と指摘しています。

    推測するに、犯罪者はこの少人数の従業員に接触し、ログイン認証情報を共有するようにうまく騙したようです。

    そして、その認証情報を使って Twitter 内のサポートツールに侵入し、より高いアクセス権限を持つ従業員をターゲットにしました。

    その高度な認証情報によって、ハッカーは個々のTwitterアカウントにアクセスし、詐欺を働くことができたのです。

    2020年7月のTwitterハッキングで流出した情報

    著名人の Twitter アカウントの侵害と、サイバー犯罪者がアクセスしたレベルを考えると、この攻撃の影響は実際にはそれほど大きなものではありませんでした。

    2020年7月のTwitterスピアフィッシング攻撃を数字で見てみましょう。

    • ターゲットとなったTwitterアカウント:130
    • ツイートされたアカウント:45
    • DM受信トレイにアクセスされたアカウント:36
    • "Your Twitter Data "(アカウントの個人情報、ログイン履歴、連携しているアプリやデバイス、興味や広告のデータなど、アカウントのスナップショットをダウンロードすることができる機能)をダウンロードしたアカウント:
    • 詐欺師のアカウントにビットコイン取引が送信された件数:383
    • 被害者がツイートの指示に従って盗まれたビットコイン:12.86BTC(当時117,000ドル)

    サイバー犯罪者が "Your Twitter Data "をダウンロードして持ち出したのは、DMの受信データ36件と8つのアカウントのみでした。
    Twitter によると、「8人のうち、認証済み(公式)のアカウントはなかった 」とのことです。つまり、ダウンロードされたデータは、認証済みの "青いチェックマーク"を持つ著名なアカウントではなかったということです。

    2020年の Twitterスピアフィッシング攻撃の黒幕

    Twitter 攻撃の首謀者は、フロリダ州タンパに住むグラハム・アイバン・クラークで、犯行当時はまだ17歳でした。当局は、クラークが Twitter の従業員に対してスピアフィッシング攻撃を行い、内部システムにアクセスして行われた犯行であると見ています。

    その後、クラークはチャットフォーラムで Twitter の従業員を装い、ビットコイン詐欺を実行した他の3人の犯人に Twitter のハンドルネームとアカウントアクセスを販売しました。

    そして、イギリスのメイソン・シェパード(19歳)とジョセフ・オコナー(22歳)がビットコイン詐欺を担当し、ニマ・ファゼリ(22歳)がクラークのブローカーとして活躍しました。

    オコナーは、2020年の攻撃前に当局が把握していた唯一の実行犯でした。彼は、PlugWalkJoe というオンラインハンドル名で、SNS のアカウントにアクセスするための SIM スワップ攻撃に関与していたとされています。

    2020年の攻撃の直後、ニューヨークタイムズとの奇妙なインタビューで、オコナーは自分が PlugWalkJoe であること、2020年の攻撃で Twitter スタッフの認証情報が盗まれたことを認めた。彼は、続けて「逮捕されても構わない。私は何もしていないのだから」と述べた。

    警察はその申し出に応じることを決め、2021年7月21日にスペインのエステポナでオコナーを逮捕しました。彼は今、複数のサイバー犯罪の容疑で米国への引き渡しを待っているところです。

    スピアフィッシング攻撃から身を守るために、TeamPasswordの無料トライアルをぜひお試しください。‏‏

    Twitter のスピアフィッシング攻撃の影響

    17歳のハッカーがたった一人で Twitter のシステムに簡単にアクセスできたことには驚かされますが、著名アカウントからのツイートは、発言一つで金融システムを大混乱に陥れたり、戦争を引き起こしたりする可能性があるため、この4人の若い犯人に法律の全権が及びました。

    このTwitter のスピアフィッシング攻撃には、FBI、IRS、米国シークレットサービス、フロリダ州の法執行機関など、複数の連邦機関が関与しており、英国人2名の逮捕には、英国およびスペインの機関が関与していることは言うまでもありません。

    一般市民や標的となった人たちからは、怒りと混乱が入り混じった声が聞かれましたが、多くの人が一番戸惑ったのは、認証されたアカウントのほとんどが2FA(二要素認証)を設定していた点です。

    犯罪者は、アカウント所有者に通知を送ることなく、アカウントのメールアドレスや連絡先番号を変更することができました。元Twitter社員2人によると、1,000人以上のTwitter社員と契約社員が、ユーザーアカウントの設定を変更するアクセス権を持っていたそうです。

    AT&T の元最高セキュリティ責任者であるエドワード・アモローゾ氏は、ロイターで「アクセスできる人数が多すぎるようだ......サイバーセキュリティを正しく行うためには、面倒な作業も怠ってはならない。 」と語っています。

    Twitter がこのように広範なアクセスを提供することで、このような攻撃を防ぎにくくなっています。Twitter には、調査に役立つログシステムがありますが、今回の攻撃では、何者かによってユーザーのアカウントに内部で変更を加えられても、関連部署への警告や通知は何も行われていませんでした。

    Twitterでの対応

    2020年7月30日のブログ記事で、Twitter は内部システムへのアクセスを制限するためにアクセスを取ったと発表しました。短期間ですが、セキュリティの改善を行う間は Twitter の一部の機能が利用できなくなりました。

    攻撃を受けて以来、調査を完了するまでの間、継続的なアカウントセキュリティを確保するために、社内ツールやシステムへのアクセスを大幅に制限してきました。また、社内システムへの不適切なアクセスを検知・防止する方法は改善され、多くのチームにおいてセキュリティ作業の優先順位がつけられています。

    また、Twitter は、サイバーセキュリティとフィッシングの回避方法について従業員を教育するプログラムにも取り組んでいます。

    会社はスピアフィッシング攻撃から守られていますか?

    Twitter でこのようなスピアフィッシング攻撃が起こる可能性があるのなら、どんな企業にも起こり得ます。ただ幸いなことに、2020年のTwitterハッキングのような侵害を軽減するために、対策を講じるのは難しいことではありません。

    パスワードマネージャーを使ったアクセス制御

    パスワードマネージャーの使用は、従業員やフリーランサーとアクセスを共有するための安全な方法であり、TeamPassword を使えば、クリックするだけでアクセス権の付与や取消ができます。

    TeamPassword のアカウント内にグループを作成できるので、必要な人にだけアクセスの共有ができます。例えばフリーランサーや契約社員を雇う場合はグループに追加して、仕事をが完了すれば外すことができます。

    詳細なログでアクションとユーザーの行動は全て記録され、TeamPassword 上のあらゆるアクションに対してメール通知の設定ができます。この追跡により、不正な共有やアクセスに先手を打つことができるでしょう。

    安全な 2FA

    TeamPassword は、パスワードマネージャにさらなるセキュリティ層を追加すべく、2FAを備えています。保護の層を重ねることで、たとえ攻撃者が従業員のパスワードを盗んだとしても、不正アクセスのリスクを最小限に抑えることができます。

    安全なパスワードの作成

    TeamPasswords の最大の特徴の1つは、内蔵されたパスワードジェネレータです。あらゆるSNSアカウントやWebサイト、アプリケーションのための強固な12~32文字のパスワードを作成し、ワンクリックで全ユーザーにアクセスの共有ができます。

    TeamPassword では、パスワードはチームメンバーには見えないので、不正な共有を心配する必要はありません。誰かがチームを離れたら、TeamPassword から外すだけで、その人はもうアクセスできなくなります。

    TeamPasswordでビジネスの安全を確保しよう

    Twitter のスピアフィッシング攻撃から学ぶことがあるとすれば、企業が従業員にサイバーセキュリティの意識を積極的に促し、サイバーセキュリティの脆弱性を防ぐための体制を整えることが重要であるということではないでしょうか。

    早速 TeamPasswordの無料トライアルを開始し、TeamPassword でぜひ強固なセキュリティ環境を構築してください。

    おすすめの記事

    サイバーセキュリティ1 min
    2段階認証でセキュリティを最大限に高める方法

    パスワードだけではサイバー犯罪者の侵入を防ぐには十分ではありません。そこで2FA(2段階認証)の出番です。本記事では、2FAがなぜサイバー犯罪やオンライン詐欺から自分自身とビジネスを守るうえで重要なのかについて説明し、2FAを使用するためのベストプラクティスをご紹介します。

    2段階認証でセキュリティを最大限に高める方法
    ニュースサイバーセキュリティ1 min
    SKテレコムで大規模なSIMカード情報流出

    2025年4月18日、韓国最大の通信事業者SKテレコム(SKT)が「過去最悪レベル」の重大なサイバーセキュリティ被害に見舞われました。今回の情報漏洩の規模は極めて深刻で、SKTの加入者、推定約2500万人、つまり実質的に全ユーザーに影響を与えたとされています。

    SKテレコムで大規模なSIMカード情報流出
    サイバーセキュリティ1 min
    フリーランスと連携して業務を行う際にデータを安全に保つ方法とは?

    急速に成長するギグエコノミーによって、エージェントはわずか数人の正社員で幅広いマーケティングおよびクリエイティブサービスを提供できるようになりました。本記事では、リモートワーカーやフリーランスを多く抱える企業において、データの安全を保つために考慮すべき事項を9つご紹介します。

    フリーランスと連携して業務を行う際にデータを安全に保つ方法とは?
    サイバーセキュリティパスワード管理1 min
    Wi-Fi パスワードをデバイス間で簡単に共有する方法

    Wi-Fi パスワードの共有の方法は、Wi-Fi に必要なセキュリティのレベル、共有の近さ、パスワード共有の頻度など、いくつかの事柄に左右されます。本記事では、さまざまな状況下で Wi-Fi パスワードを色々なデバイスで共有する方法をご説明します。

    Wi-Fi パスワードをデバイス間で簡単に共有する方法
    パスワードの安全性を高める

    パスワードを生成し、正しく管理させるための最適なソフトウェア

    Images of the TeamPassword mobile and desktop apps
    Quotes Icon

    Andrew M.

    Andrew M.

    オペレーション担当副社長

    "私たちは小規模な非営利団体のためにTeamPasswordを使用していますが、私たちのニーズにうまく対応しています。"

    今すぐ始める

    Table Of Contents

      関連記事
      2段階認証でセキュリティを最大限に高める方法

      サイバーセキュリティ

      May 15, 20251 min read

      2段階認証でセキュリティを最大限に高める方法

      パスワードだけではサイバー犯罪者の侵入を防ぐには十分ではありません。そこで2FA(2段階認証)の出番です。本記事では、2FAがなぜサイバー犯罪やオンライン詐欺から自分自身とビジネスを守るうえで重要なのかについて説明し、2FAを使用するためのベストプラクティスをご紹介します。

      SKテレコムで大規模なSIMカード情報流出

      ニュース

      May 8, 20251 min read

      SKテレコムで大規模なSIMカード情報流出

      2025年4月18日、韓国最大の通信事業者SKテレコム(SKT)が「過去最悪レベル」の重大なサイバーセキュリティ被害に見舞われました。今回の情報漏洩の規模は極めて深刻で、SKTの加入者、推定約2500万人、つまり実質的に全ユーザーに影響を与えたとされています。

      フリーランスと連携して業務を行う際にデータを安全に保つ方法とは?

      サイバーセキュリティ

      May 1, 20251 min read

      フリーランスと連携して業務を行う際にデータを安全に保つ方法とは?

      急速に成長するギグエコノミーによって、エージェントはわずか数人の正社員で幅広いマーケティングおよびクリエイティブサービスを提供できるようになりました。本記事では、リモートワーカーやフリーランスを多く抱える企業において、データの安全を保つために考慮すべき事項を9つご紹介します。

      最新情報をお見逃しなく!

      このような投稿をもっと読みたい方は、ブログを購読してください。

      Promotional image