Twitterの大規模乗っ取りによるハッキング事件(Twitterシステム・社員の脆弱性)
先月アメリカ著名人のTwitterアカウントが大規模な乗っ取りに合い、ハッカーによってコントロールされました。
そのアカウントでビットコインを買い取る投稿がされ、11万ドル以上の被害があったとされています。
原因はTwitterの社員が買収され、ハッカーにツールへのアクセス権を渡した為とされています。
Twitterの大規模乗っ取り事件について
先月末発生した、アメリカTwitterの乗っ取りによる一連の不正行為の詳細が判明しようとしています。
別件で逮捕された17歳の少年「Graham Ivan Clark」(以下:Clark)が、今回のハッキングの首謀者と言われています。
Twitterのシステムに入り込み、バラク・オバマ、カニエウェスト、ジェフ・ベゾスなどの世界で最も有名な人々のTwitterアカウントを乗っ取っています。
露呈したTwitter社のシステムおよびセキュリティの脆弱性
今回のTwitterハッキング行為は、これまで前代未聞の事件であるだけでなく別の衝撃を与えました。
Twitter社は周知の通り、ニュース速報や政府の政策、およびインターネット上の市場変動イベントの基盤となるSNSプラットフォームです。
それにもかかわらず、自社のシステムセキュリティを処理する設備を整えていなかったという事実が明るみになったのです。
ハッキング事件の概要
今回の事件では、Twitter社員を介してTwitterの内部システム(アカウントを詳細に制御するツール)に侵入されています。
130のTwitterアカウントが狙われ、さらに45のアカウントでパスワードリセットが実行されています。
この中で、ジョー・バイデン、イーロン・マスク、ビル・ゲイツ氏、など、影響力のあるTwitterアカウントへのアクセス権を次々と奪取していたとされています。
ビットコイン買取詐欺
このアカウントから「特定のビットコインウォレットに送金すれば2倍にして返す」等、ビットコインを求める偽の投稿も発信されています。
BBCによれば3億5000万人以上の人々がその投稿を目にし、鵜呑みにした人々に被害を発生させています。
投稿のリンク先には1時間で11万ドルもの送金があったとされます。
ハッキングされた原因はTwitter社員の買収か
今までのところTwitterから明確に報告がされているのは、少なくとも1人の従業員がこのハッキング攻撃に関与したという事です。
Twitterはそれを「ソーシャルエンジニアリングによる被害」と表現しています。
Twitter従業員に対するソーシャルエンジニアリング
これはハッカーが特定の「人物」を騙す事で、アクセス用のログイン認証情報を提供させることができる事を意味します。
いわゆる電話による「振り込め詐欺」のような、「人と人とのやり取りによる詐欺」が実際に発生していたという事なのですね。
Twitterはハッキングに関するこの辺りの詳細情報をまだ提供してはいません。
Twitter社員の買収
その後を調査した記者によると、注目度の高いSNSアカウントが取引される掲示板サイト「OGUsers」のユーザー2名の存在を明らかにしています。
彼らはTwitterの自称従業員「Kirk」という人物に報酬を支払い、Twitterアカウントを詳細に制御するツールへのアクセスを得たと主張しています。
実質2回目の買収
事実だとすればTwitter社員が買収された事になり、実質2回目となります。
昨年末に司法省は、Twitterアカウントがサウジアラビアに国民の個人情報を提供したとして、2人のTwitter従業員を告発しています。
このようにTwitter社員がお金欲しさに、システムへ自在にアクセスできるツールの権限をハッカーに渡した事が、今回の大規模乗っ取りの原因とされています。
被害がビットコイン詐欺で「済んだ」と考えるべき
今回、いくつかの影響力のあるアカウントが投稿した詐欺情報は「ビットコインの買い取り」でした。
いい方を変えると、まだ被害は少ない方だったと言えると思います。
金融操作や戦争の扇動だった場合
仮にもし、ハッカーがこのアカウントで株価の操作や新しいパンデミック、さらには諸外国を非難するメッセージを発信したらどうなるでしょう。
それを真に受けるユーザーはたくさんいます。その際に起こりうる被害を想像してみてください。
もし詐欺投稿の目的が株価の操作に関する被害だった場合、その波は全世界を一気に襲います。
人の気持ちが大きく影響するのが金融市場だからですね。
今回大統領のTwitterは被害に遭わず
そして幸いにも、今回トランプ大統領のアカウントはビットコイン詐欺をツイートしていません。
トランプ大統領は常に政策を決定したり、役人を解雇したり、「つぶやく」ボタンを押して市場を動かす発表をTwitterでおこないます。
もし大統領のTwitterアカウントが乗っ取られていたら、日頃から過激な投稿をするトランプ大統領ですから、真に受ける人は必ずいる事でしょう。
幸運だったが、次は致命的になる
ですので今回はビットコイン詐欺だけで済んでおり、それ程危機的な状況には至らなかった訳です。
つまり幸運と考えるべきでしょう。
ただし、Twitterが次にこのような事件を再び起こした場合は致命的です。暗い未来が待つのが容易に想像できますね。
今後のTwitterの課題と責任
Twitterがこの規模の攻撃を打ち消す準備ができていなかったことは明らかです。
Twitterには今後システムのセキュリティおよび社員教育について取り組む多くの課題があります。
まずは基本的にTwitterは、ニュース情報さらには世界中の政府の政策の流れにとっていかに重要なツールであるかを自覚しなければなりません。
それを踏まえて、次のような課題が考えられます。
ハッカーと協力できるTwitter従業員の体制
記者の報告が真実であれば、ハッカーと社内の少なくとも1人の従業員との間に共犯による犯罪行為があった事を示します。
昨秋のサウジアラビアと水曜日のハッキングに関する事件を踏まえると、Twitterは従業員にアクセスを許可する前に関所を設けるべきです。
どのように要求を精査するか、そしてアクセスが漏洩しない事をどのように保証をするのかを開示する必要があります。
ツールへのアクセス権が奪取された事実は変わらない
仮に共犯でないとすれば、ハッカーはどのようにして従業員をだましてアクセスを放棄したのかの経緯を説明する必要があります。
そして再発防止策の開示が急務となります。
ハッカーのツイートを停止するのに何時間が掛かり過ぎる
知名度の高いアカウントは、ビットコイン詐欺が最初に開始されてから何時間もツイートし続けていました。
Twitterは確認済みアカウントのツイートをブロックする事で速度を遅延させようとしていた様ですが、それは被害発生後の事です。
今回はビットコイン詐欺の投稿が中心でしたが、場合によってはより悪質な投稿に利用される可能性もあったはずです。
なのにTweetを止めるのになぜこんなに時間が掛かったのかが疑問です。
制御不能になった場合にサービスを一時停止する機能の有無
市場を動かす情報や政治情報が大量に破壊されていると判断された場合、Twitterはツイートをすぐに一時停止する機能が必要ではないでしょうか。
それこそまさに電源プラグ自体を抜く感じの機能ですね。
個人情報データの漏えい状況
今回、ジョー・バイデン、イーロン・マスク、ビル・ゲイツなどのアカウントからツイートが送信された事はわかっています。
当然そこからこれら有名人の「独自の個人情報」にもアクセスできた訳です。
・メールアドレス
・電話番号
・プライベートメッセージ
上記のような情報が漏れていたとされていますので、しっかりとした調査が必要になりますよね。
アメリカ大統領アカウントに何らかの影響があったかどうか
大統領クラスのアカウントが乗っ取られたとなれば、それこそ甚大な影響が発生します。
しかし今回の事件ではその様な報告は出ていません。
セーフガードの存在
もしかすると、既に大統領アカウント・或いは他の政府高官のアカウントの周りには特別な保護手段があるのかも知れませんよね。
オバマ前大統領のアカウントをハックしておいて現大統領のアカウントをハックしない訳が無いからです。
もしあるとするならば、何故それらのセーフガードが全てのアカウントに使用されないのかが疑問です。
改善策の透明性と可視性が求められます。
Twitterは問題の調査が続く限り、より多くの情報を共有すると述べました。
原因を正確に分析して、改善に活かせる様最大限に尽力してほしいと思います。
現時点では今後、Twitterのセキュリティシステムと従業員が将来の攻撃にどのように備えるかがポイントです。
何よりより多くの可視性と透明性が必要だと思います。