2020年7月に発生した Twitter のセキュリティインシデント

2020年7月16日、Twitter へのサイバー攻撃が原因で複数の著名人の Twitter アカウントが乗っ取られ、詐欺に利用された。

乗っ取られたアカウントには、テスラやSpaceXの創業者のイーロン・マスク氏、マイクロソフト創業者のビル・ゲイツ氏、Apple、Uber、バラク・オバマ前アメリカ大統領、Amazonのジェフ・ベゾスCEO、民主党のアメリカ大統領候補のジョー・バイデン氏、ミュージシャンのカニエ・ウェスト氏、元ニューヨーク市長のマイケル・ブルームバーグ氏など著名人が多数含まれた。

同社は、「内部システムとツールへのアクセス権限を持つ従業員の一部を標的とした組織的なソーシャルエンジニアリング攻撃」らしいものを検出したと説明した。 Twitterのセレブアカウントハック、「高権限従業員標的のソーシャルエンジニアリング攻撃」の可能性 – ITmedia NEWS (2020年7月16日)

複数のアカウントが一斉に乗っ取られたことからも推測できる通り、アカウントが個別に乗っ取られた訳ではない。2020年7月16日までに Twitter 社の発表やその他報道でわかる限りでは、Twitter 社の管理者権限が何らかの形で不正に利用されたとされている。Twitter 社は「ソーシャルエンジニアリング攻撃」の可能性を示している。

過去には、Twitter CEOのジャック・ドーシー氏の Twitter アカウントが乗っ取られたこともあったが、これは SIM スワッピングが原因で Twitter に全面的な非があった訳ではない。

2019年8月には、TwitterのCEOであるジャック・ドーシー氏のアカウントから差別的なツイートが連発される事件が発生しましたが、この時、ドーシー氏のアカウントを乗っ取るのに使われた手口が「SIMスワッピング」だと推測されています。 TwitterのCEOのアカウント乗っ取りにも使われた「SIMスワッピング」の脅威を警察当局が警告 – GIGAZINE (2019年11月11日)

しかし、今回の乗っ取りはほぼ完全に Twitter 社に非があるといわざるを得ない。管理者権限の悪用でここまで広範にアカウントが乗っ取られる事態はかなり稀だろうし、管理者権限の悪用ではユーザーがいくら強固なパスワードや2要素認証を使ったところで対処できない。現に、2段階認証と強力なパスワードで運用されていたアカウントですら乗っ取られた。(ただし、だからといって2要素認証や強力なパスワードを設定しても意味がないという訳ではない。通常の状況では2要素認証と強力なパスワードは非常に有用なセキュリティ対策なので継続する必要がある。)

なお、ハッキング被害にあったTwitterアカウントを運用していたCameron Winklevoss氏は、「主要な仮想通貨の公式Twitterアカウントはすべてハッキングされています。2段階認証と強力なパスワードで運用されていた@Geminiでも同様にアカウントをハッキングされました。現在ハッキング被害について調査中です。間もなく詳細情報をお知らせします」とツイートしており、2段階認証と強力なパスワードでアカウントが保護されていたことも明らかになっています。 Appleやイーロン・マスクなどTwitterの企業・有名人アカウントが一斉にハッキングされる – GIGAZINE (2020年7月16日)

Twitter 社には今後、管理者権限の悪用を防ぐ社内プロセスの確立が求められるだろう。