Twitterのスピアフィッシング攻撃で起きたこと

２０２０年に発生したTwitterのスピアフィッシング攻撃（特定の個人や団体を狙うフィッシング詐欺）により、私たちはサイバー犯罪者があらゆる手段を用いて組織に侵入できてしまうということを思い知らされることとなりました。

２０２０年７月１５日、サイバー犯罪者はソーシャルエンジニアリングによってTwitterのシステムをハッキングし、アメリカのバイデン大統領、オバマ元大統領、ビル・ゲイツ、イーロン・マスク、カニエ・ウエスト、ウォーレン・バフェット、Apple、Uberなど、著名人のアカウントからツイートを発信しました。

以下はその時に発信されたオバマ氏のツイートです。

「私は新型コロナ感染症感染拡大の現状を踏まえ、地域のコミュニティに貢献したいと考えています！以下の私のアドレスにビットコインを送れば、すべて２倍にしてお返しします。１,０００ドル送れば、２,０００ドル送り返します！今から３０分間だけの実施です！お楽しみに。」

どのツイートも似たような感じで、「 ”善をなす” という名目で、ビットコインを使って寄付を行おうと人々に迅速な行動を促す」といった内容です。‎ 

‎Twitterは、この事件を「携帯電話によるスピアフィッシング攻撃」と表現していますが、サイバー犯罪者がどのようにSNSのシステムを侵害したかの詳細については、明らかにしていません。

自身とデータを守るために、１４日間の無料トライアルをぜひお試しください。

スピアフィッシング攻撃とは

フィッシング攻撃とは、サイバー犯罪者が「なりすまし」のメッセージを送り（電話をかける場合もある）、被害者がリンクをクリックしたり、個人情報や機密情報を共有したりすることを促すもので、皆さんもよくご存知だと思います。

ソーシャルエンジニアリングの一種であるフィッシング攻撃では、サイバー犯罪者がこのようなメッセージを大量に送り、誰が「食いつく」かを確認します。特定のターゲットがいるわけではありません。

一方、スピアフィッシング攻撃は、さらに巧妙で標的を絞ったものであり、サイバー犯罪者は、個人または組織を調べて脆弱性を探し出します。

‎ ‎その「脆弱性」というのは、個人が保持している個人情報であったり、組織の内部コミュニケーション方法であったりします。そしてそのような情報があれば、犯罪者はなりすまし通信をカスタマイズして、被害者に本物だと思わせることができるのです。

Twitterの電話によるスピアフィッシング攻撃

セキュリティ上の理由から、Twitter は ２０２０年７月のスピアフィッシング攻撃がどのように起こったか、その詳細の公表を控えていますが、２０２０年７月３０日の声明から、Twitter は電話によるスピアフィッシング攻撃が原因であったことを以下のように明らかにしています。

「２０２０年７月１５日に発生したソーシャルエンジニアリングは、少数の従業員を標的とした電話によるスピアフィッシング攻撃でした。攻撃を成功させるには、当社の内部ネットワークと、内部サポートツールへのアクセスを許可する特定の従業員資格の両方へのアクセスを取る必要がありました。」

サイバー犯罪者は当初、Twitter のシステムにアクセスするために、電話によるフィッシング攻撃で少数の従業員をターゲットにしていたようですが、これがテキストまたは音声通話によるものであったかは不明です。

司法省（DOJ）は公式声明の中で、「Twitterの攻撃は、技術的な侵害とソーシャルエンジニアリングの組み合わせで構成されていた 」と指摘しています。

推測するに、犯罪者はこの少人数の従業員に接触し、ログイン認証情報を共有するようにうまく騙したようです。

そして、その認証情報を使って Twitter 内のサポートツールに侵入し、より高いアクセス権限を持つ従業員をターゲットにしました。

その高度な認証情報によって、ハッカーは個々のTwitterアカウントにアクセスし、詐欺を働くことができたのです。

２０２０年７月のTwitterハッキングで流出した情報

著名人の Twitter アカウントの侵害と、サイバー犯罪者がアクセスしたレベルを考えると、この攻撃の影響は実際にはそれほど大きなものではありませんでした。

２０２０年７月のTwitterスピアフィッシング攻撃を数字で見てみましょう。

• ターゲットとなったTwitterアカウント：１３０
• ツイートされたアカウント：４５
• DM受信トレイにアクセスされたアカウント：３６
• "Your Twitter Data "（アカウントの個人情報、ログイン履歴、連携しているアプリやデバイス、興味や広告のデータなど、アカウントのスナップショットをダウンロードすることができる機能）をダウンロードしたアカウント：８
• 詐欺師のアカウントにビットコイン取引が送信された件数：３８３
• 被害者がツイートの指示に従って盗まれたビットコイン：１２.８６BTC（当時１１７,０００ドル）

サイバー犯罪者が "Your Twitter Data "をダウンロードして持ち出したのは、DMの受信データ36件と8つのアカウントのみでした。
Twitter によると、「8人のうち、認証済み（公式）のアカウントはなかった 」とのことです。つまり、ダウンロードされたデータは、認証済みの "青いチェックマーク"を持つ著名なアカウントではなかったということです。

２０２０年の Twitterスピアフィッシング攻撃の黒幕

Twitter 攻撃の首謀者は、フロリダ州タンパに住むグラハム・アイバン・クラークで、犯行当時はまだ１７歳でした。当局は、クラークが Twitter の従業員に対してスピアフィッシング攻撃を行い、内部システムにアクセスして行われた犯行であると見ています。

その後、クラークはチャットフォーラムで Twitter の従業員を装い、ビットコイン詐欺を実行した他の３人の犯人に Twitter のハンドルネームとアカウントアクセスを販売しました。

そして、イギリスのメイソン・シェパード（１９歳）とジョセフ・オコナー（２２歳）がビットコイン詐欺を担当し、ニマ・ファゼリ（２２歳）がクラークのブローカーとして活躍しました。

オコナーは、２０２０年の攻撃前に当局が把握していた唯一の実行犯でした。彼は、PlugWalkJoe というオンラインハンドル名で、SNS のアカウントにアクセスするための SIM スワップ攻撃に関与していたとされています。

２０２０年の攻撃の直後、ニューヨークタイムズとの奇妙なインタビューで、オコナーは自分が PlugWalkJoe であること、２０２０年の攻撃で Twitter スタッフの認証情報が盗まれたことを認めた。彼は、続けて「逮捕されても構わない。私は何もしていないのだから」と述べた。

警察はその申し出に応じることを決め、２０２１年７月２１日にスペインのエステポナでオコナーを逮捕しました。彼は今、複数のサイバー犯罪の容疑で米国への引き渡しを待っているところです。

スピアフィッシング攻撃から身を守るために、TeamPasswordの無料トライアルをぜひお試しください。‏‏

Twitter のスピアフィッシング攻撃の影響

１７歳のハッカーがたった一人で Twitter のシステムに簡単にアクセスできたことには驚かされますが、著名アカウントからのツイートは、発言一つで金融システムを大混乱に陥れたり、戦争を引き起こしたりする可能性があるため、この４人の若い犯人に法律の全権が及びました。

このTwitter のスピアフィッシング攻撃には、FBI、IRS、米国シークレットサービス、フロリダ州の法執行機関など、複数の連邦機関が関与しており、英国人２名の逮捕には、英国およびスペインの機関が関与していることは言うまでもありません。

一般市民や標的となった人たちからは、怒りと混乱が入り混じった声が聞かれましたが、多くの人が一番戸惑ったのは、認証されたアカウントのほとんどが２FA（二要素認証）を設定していた点です。

犯罪者は、アカウント所有者に通知を送ることなく、アカウントのメールアドレスや連絡先番号を変更することができました。元Twitter社員２人によると、１,０００人以上のTwitter社員と契約社員が、ユーザーアカウントの設定を変更するアクセス権を持っていたそうです。

AT&T の元最高セキュリティ責任者であるエドワード・アモローゾ氏は、ロイターで「アクセスできる人数が多すぎるようだ......サイバーセキュリティを正しく行うためには、面倒な作業も怠ってはならない。 」と語っています。

Twitter がこのように広範なアクセスを提供することで、このような攻撃を防ぎにくくなっています。Twitter には、調査に役立つログシステムがありますが、今回の攻撃では、何者かによってユーザーのアカウントに内部で変更を加えられても、関連部署への警告や通知は何も行われていませんでした。

Twitterでの対応

２０２０年７月３０日のブログ記事で、Twitter は内部システムへのアクセスを制限するためにアクセスを取ったと発表しました。短期間ですが、セキュリティの改善を行う間は Twitter の一部の機能が利用できなくなりました。

「攻撃を受けて以来、調査を完了するまでの間、継続的なアカウントセキュリティを確保するために、社内ツールやシステムへのアクセスを大幅に制限してきました。また、社内システムへの不適切なアクセスを検知・防止する方法は改善され、多くのチームにおいてセキュリティ作業の優先順位がつけられています。」

また、Twitter は、サイバーセキュリティとフィッシングの回避方法について従業員を教育するプログラムにも取り組んでいます。

会社はスピアフィッシング攻撃から守られていますか？

Twitter でこのようなスピアフィッシング攻撃が起こる可能性があるのなら、どんな企業にも起こり得ます。ただ幸いなことに、２０２０年のTwitterハッキングのような侵害を軽減するために、対策を講じるのは難しいことではありません。

パスワードマネージャーを使ったアクセス制御

パスワードマネージャーの使用は、従業員やフリーランサーとアクセスを共有するための安全な方法であり、TeamPassword を使えば、クリックするだけでアクセス権の付与や取消ができます。

TeamPassword のアカウント内にグループを作成できるので、必要な人にだけアクセスの共有ができます。例えばフリーランサーや契約社員を雇う場合はグループに追加して、仕事をが完了すれば外すことができます。

詳細なログでアクションとユーザーの行動は全て記録され、TeamPassword 上のあらゆるアクションに対してメール通知の設定ができます。この追跡により、不正な共有やアクセスに先手を打つことができるでしょう。

安全な 2FA

TeamPassword は、パスワードマネージャにさらなるセキュリティ層を追加すべく、2FAを備えています。保護の層を重ねることで、たとえ攻撃者が従業員のパスワードを盗んだとしても、不正アクセスのリスクを最小限に抑えることができます。

安全なパスワードの作成

TeamPasswords の最大の特徴の１つは、内蔵されたパスワードジェネレータです。あらゆるSNSアカウントやWebサイト、アプリケーションのための強固な１２～３２文字のパスワードを作成し、ワンクリックで全ユーザーにアクセスの共有ができます。

TeamPassword では、パスワードはチームメンバーには見えないので、不正な共有を心配する必要はありません。誰かがチームを離れたら、TeamPassword から外すだけで、その人はもうアクセスできなくなります。

TeamPasswordでビジネスの安全を確保しよう

Twitter のスピアフィッシング攻撃から学ぶことがあるとすれば、企業が従業員にサイバーセキュリティの意識を積極的に促し、サイバーセキュリティの脆弱性を防ぐための体制を整えることが重要であるということではないでしょうか。

早速 TeamPasswordの無料トライアルを開始し、TeamPassword でぜひ強固なセキュリティ環境を構築してください。