Twitterアカウント大規模ハッキング事件の詳細をTwitterが公表、最大8件のアカウントがDMなどの詳細データを盗まれた可能性

テスラやSpaceXの創業者であるイーロン・マスク氏やMicrosoftの共同設立者であるビル・ゲイツ氏、アメリカ前大統領のバラク・オバマ氏に、民主党のアメリカ大統領候補であるジョー・バイデン氏など、名だたる著名人のTwitterアカウントが一斉にハッキングされた問題について、Twitterが記事作成時点で公表可能な情報を自社ブログの中で明らかにしました。

An update on our security incident
https://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident.html

Read Twitter’s update on the huge hack — 8 accounts may have had private messages stolen - The Verge
https://www.theverge.com/2020/7/18/21329277/twitter-hack-breach-update-july-17-your-twitter-data-theft

2020年7月16日、Appleやテスラの創業者であるイーロン・マスク氏などのTwitterアカウントが一斉にハッキングされ、ビットコイン詐欺に関するツイートを投稿しました。ハッキングされたアカウントでどのようなツイートが投稿されたのかは、以下の記事に詳細に記されています。

Appleやイーロン・マスクなどTwitterの企業・有名人アカウントが一斉にハッキングされる - GIGAZINE

翌日の7月17日、Twitterは内部調査の結果としてハッキングされたアカウントの「パスワードが漏れた形跡はない」と発表しました。

Twitterの大規模ハッキング事件について「パスワードが漏れた形跡はない」との公式発表 - GIGAZINE

そして7月18日になって、Twitterは大規模ハッキングに関する最新の調査状況を報告しています。なお、今回の報告は日本時間の2020年7月18日13時時点までの情報をまとめたもので、セキュリティ保護のために一部情報を公開していないとのことです。

今回の大規模ハッキング事件を実行した攻撃者は、特定のTwitter従業員をターゲットにソーシャルエンジニアリングを用いて攻撃を行ったとTwitterは分析しています。なお、ソーシャルエンジニアリングとは「ネットワークに侵入するために必要となるパスワードなどの情報を情報通信技術を使用せずに盗み出す方法」であり、Twitterは「特定のアクションを実行し、機密情報を漏らすように人々を意図的に操作すること」と記しています。

Twitterによると、攻撃者は少数の従業員を巧みに操作することで、従業員の持つ資格情報を用いて2段階認証などを突破し、Twitterの内部システムにアクセスしたそうです。攻撃者はTwitter社内のサポートチームだけが使用できるツールにアクセスし、130件以上のTwitterアカウントに対してハッキング攻撃を行ったことが明らかになっています。なお、ハッキング攻撃を受けたアカウントのうち45件が、攻撃者によりパスワードがリセットされ、ビットコイン詐欺に関するツイートを投稿された模様。

ハッキング攻撃を受けた130件のアカウントについて明らかになっているのは、「アカウントパスワードがプレーンテキストで保存されていない、あるいは攻撃に使用されたツールからはパスワードにアクセスすることができないため、パスワードがどのようなものだったかを確認することはできなかった」ということ。ただし、攻撃者はアカウントに紐づけられたメールアドレスや電話番号といった個人情報を確認することができた模様。そして、攻撃者により乗っ取られた45件のアカウントについては、メールアドレスや電話番号以外の追加の情報を表示できた可能性が指摘されています。

Twitterはハッキング被害にあった可能性のあるすべてのアカウントでフォレンジックを継続し、取られた可能性のあるすべてのアクションを確認していくとしています。なお、Twitterは「ハッキングしたTwitterアカウントのユーザー名の一部を販売しようとした可能性もある」と記しています。

また、Twitterの調査により今回のハッキング攻撃の被害を受けた8件のTwitterアカウントは、「Twitterデータ」ツールを用いてアカウント情報をダウンロードされた可能性があるとのこと。Twitterデータはアカウント所有者に対してTwitterアカウントの詳細とアクティビティの概要を提供するためのツールで、過去のダイレクトメッセージ(DM)の内容などを確認することも可能です。なお、Twitterデータを使用されたアカウントの中に、本人確認済みのアカウントは存在しなかったとTwitterは記しています。

Twitterはハッキング攻撃が発覚したのち、迅速に被害にあった可能性のあるアカウントを凍結し、コントロールを取り戻すことに成功したと述べています。セキュリティ対策チームは攻撃者がシステムまたは個々のアカウントにアクセスすることを防ぐために、内部システムへのアクセスを取り消したとしています。なお、記事作成時点で報告できる詳細はこれ以上に存在しないため、技術的な詳細は「将来的に可能になったタイミングで」報告するとのこと。

その他にも、Twitterは多くのアカウントに機能制限を課し、ツイートやパスワード変更の禁止を課すことで、攻撃者による詐欺ツイートが投稿されないように対策を行ったとしています。加えて、ハッキング攻撃が起きた後にパスワードの変更を行おうとしたアカウントを一時的に凍結することで、ハッキング被害の拡大を防いだとしています。既に多くのアカウントで機能制限は解除されており、パスワードの変更を行おうとしたアカウントについても、一時的な凍結が解除されているそうです。

Twitterはハッキング事件の調査を継続し、法執行機関と協力してシステムのセキュリティを向上させるための長期的な行動を続けるとしています。