Twitter大規模乗っ取りの数年前から「請負業者によるセレブへのスパイ行為」は認識されていた

by Esther Vargas

Twitterの著名人のアカウントが一斉に乗っ取られ、ビットコイン詐欺に利用されたことが2020年7月に報じられました。このハッキング事件はマルウェアを利用したのではなく、人の行動ミスや心理的な隙を利用するソーシャルエンジニアリングで行われたと見られていますが、海外メディアのBloombergが新たに「過去何年にもわたってTwitterは『セレブの個人情報がTwitterの請負業者によってスパイされていること』を認識していた」と報じました。

Years before big hack, Twitter contractors reportedly spied on celebs, including Beyoncé - The Verge
https://www.theverge.com/2020/7/27/21340581/twitter-big-hack-contractors-spied-celebs-beyonce-bitcoin

Twitter Hack: Broad Access to User Accounts, Security Woes - Bloomberg
https://www.bloomberg.com/news/articles/2020-07-27/twitter-s-security-woes-included-broad-access-to-user-accounts

2020年7月15日、AppleやUberなどの大手企業や、テスラやSpaceXの創業者であるイーロン・マスク氏やMicrosoftの共同設立者であるビル・ゲイツ氏、アメリカ前大統領のバラク・オバマ氏に、民主党のアメリカ大統領候補であるジョー・バイデン氏など、名だたる著名人のTwitterアカウントが一斉にハッキングされました。

Appleやイーロン・マスクなどTwitterの企業・有名人アカウントが一斉にハッキングされる - GIGAZINE

このハッキングは従業員を対象にしたソーシャル・エンジニアリングを利用して実行されたとTwitterは説明しています。乗っ取られたアカウントではビットコイン詐欺のツイートが行われ、1000万円以上の被害が生じています。

Twitterアカウント大規模ハッキング事件の詳細をTwitterが公表、最大8件のアカウントがDMなどの詳細データを盗まれた可能性 - GIGAZINE

Bloombergによると、このハッキングはTwitterの請負業者経由で情報がもれたことが原因だと見られているとのこと。1億8600億人のTwitterアカウントの管理を行う請負業者の従業員のうち1500人ほどが、ユーザーのポリシー違反を確認し、アカウントをリセットし、セキュリティ設定を上書きできる権限を有しています。これら請負業者の従業員の存在は、Twitterの長年の懸念材料だったとBloombergは伝えています。多くの請負業者の従業員がアクセスできる個人情報はメールアドレス・電話番号といった限られたものですが、ハッキングするための出発点になり得るとのこと。

「その統制には『穴』が多かったため、2017年から2018年にかけて、請負業者の何人かが、ビヨンセを含むセレブリティの『IPアドレスから推測される位置情報』といった個人情報を偽の問合せによって追跡する『アカウントのぞき見ゲーム』を行っていました」とBloombergはつづっています。なお、Twitterの請負業者の1つであるCognizantは本件についてコメントを行っていません。

今回の攻撃者は、上記のような立場にあるTwitterの関係者に対して内部情報を提供するよう協力を求めたとみられています。具体的に攻撃者がTwitterの社内情報をどのように入手したかについて、The New York TimesはTwitterの社内Slackチャンネルから機密情報を入手したと伝えており、Motherboardは攻撃者が従業員にお金と引き替えに情報を得たとしています。

なお、Twitterのセキュリティチームの元メンバー2人によると、Twitterへのアカウントアクセスの問題は2015年から2019年の間、Twitterの取締役会でほぼ毎年共有されていましたが、幹部の間では問題視されていなかったとのこと。元従業員2人は、何人かの請負業者がこの問題で解雇されたものの、うまく言い逃れして解雇を免れ、不正行為を再開した人もいると語っています。