Twitterのハッキング事件はスピアフィッシングによるものであったことが判明

 
現地時間の7月15日に発生したTwitterのハッキング事件で、オバマ前米大統領、イーロン・マスク氏、Appleなど、著名人、大企業の130のアカウントが不正にアクセスされ、仮想通貨の送金を促す詐欺ツイートが投稿されました。Twitterは以前、ソーシャル・エンジニアリングが使用されたと説明していましたが、さらなる調査の結果「電話を介したスピアフィッシング」によるものだったことが明らかになりました。

高度に組織化されていたフィッシング攻撃

Twitterによれば、攻撃者は「巧妙かつ高度に組織化された」スピアフィッシングを、電話を介してTwitter従業員にしかけたとのことです。
 
「特定の従業員を誤解させ、人間の弱みに巧みにつけ込み内部システムへのアクセスを得た」と、Twitterは30日にツイートしています。
 

The attack on July 15, 2020, targeted a small number of employees through a phone spear phishing attack. This attack relied on a significant and concerted attempt to mislead certain employees and exploit human vulnerabilities to gain access to our internal systems.

— Twitter Support (@TwitterSupport) July 31, 2020

 
攻撃者は、まずTwitter従業員のクレデンシャル情報を獲得し、その後アカウントサポートツールにアクセス権限のある特定のスタッフをターゲットにしていったとされています。

被害の明確な数字も明らかに

フォロワー数の多いTwitterアカウントから仮想通貨の送金を促す詐欺ツイートが投稿されましたが、総被害額はおおよそ10万ドル（約1,043万円）にのぼるとのことです。
 
Twitterは30日のブログ更新で、「130のアカウントが不正にログインされ、45のアカウントから詐欺ツイートが送信され、36のアカウントのDMの受信ボックスにアクセスされ、7つのアカウントのTwitterデータがダウンロードされた」と被害の詳細な数字も公開しています。
 
 
Source:Twitter via AppleInsider
(lexi)