
ツイッター大規模ハッキング:背後にある噂と真実
TechFlow厳選深潮セレクト

ツイッター大規模ハッキング:背後にある噂と真実
Twitterは、調査期間中、一部のユーザーにおいてツイート投稿やパスワード再設定の機能が利用できなくなる可能性があると述べた。
出典|CertiK
「100元の赤い封筒をくれたら、明日200元返してあげようか?」
赤い封筒を送っても確実に見返りが得られると信じられるのは、おそらく最も信頼できる相手だけだろう。テレビの法教育番組では、このような詐欺の手口を取り上げて注意喚起することがよくある。しかし騙される根本的な原因はこの二文字にある:「信頼」。
日本時間2020年7月16日午前3時頃、CertiKセキュリティチームの研究者らは、著名なSNSサイトTwitter(ツイッター)上で、複数の有名人アカウントが不正アクセスされたことを検知した。これらの乗っ取られたアカウントはすべて、以下のビットコイン詐欺メッセージを投稿していた。
「皆様へのお礼(ビットコイン支援のため)、今から皆さんに還元します。以下のアドレスに1,000米ドルを送金すれば、2,000米ドルを返金します。キャンペーンは30分限定!」
CertiKセキュリティ専門家によるスクリーンショット
今回のサイバー攻撃は、ブロックチェーン業界から始まり、Gemini取引所、Coinbase取引所、バイナンス取引所CEOのチャンペン・ジャオ、トロンCEOの孫宇晨(ソン・ウォーチョン)、ブロックチェーンメディアCoindeskなどが攻撃を受け、関連メッセージを発信した。

上記画像はすべてCertiKセキュリティ専門家のスクリーンショットより
その後、ツイッター上でウイルス的拡散となり、ビル・ゲイツ、アマゾン創業者のジェフ・ベゾス、ブルームバーグ創業者のマイケル・ブルームバーグ、アップル公式アカウント、テスラCEOのイーロン・マスク、有名歌手カニエ・ウェスト、アメリカ元大統領のオバマ氏、ジョゼフ・バイデン氏なども次々と被害に遭った。
ハッカーは著名なSNSサイトであるツイッターを攻撃し、誰もが信じないような、アメリカ元大統領のアカウントさえも乗っ取られるという事態を引き起こした(現職大統領のアカウントが既にハッキングされているのではないかと以前から疑われていたが)。一般ユーザーがツイッターに対して抱く信頼と、有名人の公的信用を利用して、このキャンペーンが本物だと人々に思わせたのである。
現時点で、ハッカーのアカウントには合計12.86BTCが送金されており、これは約118,209米ドル(人民元換算で約825,805元)に相当する。

現在ネット上で流れるうわさ
1. Twitter社員のアカウントが乗っ取られ、ハッカーが管理画面にアクセスした
Telegram上で流出したスクリーンショットは、Twitter社員の管理画面のように見える。ハッカーはこの管理画面を通じてユーザーのメールアドレスを変更し、パスワード再設定用のリンクを自分が制御するメールアドレスに送信することで、目的のアカウントを乗っ取った可能性がある。
2. ハッカーは最近公開された脆弱性を悪用し、Twitterサーバーを攻撃して管理画面にアクセスした
昨日、WindowsのDNSサーバーに関する脆弱性(CVE-2020-1350)が公開され、攻撃者は特定のリクエストを送ることで、リモートから任意のコードを実行できることが判明した。これについて、以下のような推測が出ている:Twitterは公開しているMS DNSサーバーを持っており、そのサーバーはCVE-2020-1350のパッチが適用されていなかった。攻撃者はこの脆弱性を利用してサーバーを乗っ取り、Windows DNSサーバーがネットワークの中心的コンポーネントであることから、蠕虫型の拡散が可能になり、ユーザー操作や認証なしにTwitter内部の管理画面へ侵入。そして管理画面からユーザーのメールアドレスを書き換え、パスワード再設定リンクを自らが制御するメールアドレスに送信することで、目標アカウントの乗っ取りを成功させた。

Twitter公式の対応
各アカウントが乗っ取られた原因については、まだ公式発表はないが、同日午前5時45分(日本時間)、Twitterは公式に声明を出し、調査を迅速に行うと発表した。
その後Twitterは、調査期間中、一部ユーザーのツイート投稿やパスワード再設定機能が一時的に利用できない可能性があると述べた。
セキュリティ対策および提案
SNS上で個別のアカウントが乗っ取られる事例は頻繁にあるかもしれないが、これほど大規模なサイバー攻撃は、2020年という「魔境の年」における大きな出来事の一つと言えるだろう。ここでは、CertiKセキュリティチームがTwitterアカウントのセキュリティを強化するためのいくつかの対策をまとめた。
1. 自分のTwitterアカウントの使用許可を与えているアプリを解除する
Twitterにログイン後、「More → Settings and privacy → Account → Data and permissions → Apps and sessions」にアクセスすると、現在自分のTwitterアカウントの権限を取得しているアプリやログイン中のセッションを確認できる。CertiKセキュリティチームは、定期的に承認済みのアプリを確認し、不要なアプリは速やかに削除すること、また怪しいセッションはログアウトすることを推奨する。
2. 二段階認証を有効にする
Twitterにログイン後、「More → Settings and privacy → Account → Security → Two-factor authentication」から二段階認証を有効にできる。認証方法にはSMS、Google Authenticatorアプリ、物理的なSecurity Keyがある。二段階認証を導入することで、ハッカーがユーザーのアカウントとパスワードを入手しても、アカウントを盗むことを防げる。

無効なバグ報酬プログラム?
セキュリティへの投資不足
TwitterはHackerOneのバグ報酬プラットフォーム上で、バグ報酬プログラムを設けている(https://hackerone.com/twitter)。しかし、Account takeover(アカウント乗っ取り)タイプの脆弱性に対しては、わずか7,700米ドルの報酬しか支払わない。一方、今回のハッカーはこの種の脆弱性を利用し、すでに10万米ドル以上の利益を得ている。このあまりにも大きな差は、深く考えさせられる。
企業にとってセキュリティとは、被害に遭っていない間は重要視されず、お金をかける価値がないと思われがちだ。だが実際に被害を受けると、その損失は計り知れないものとなる。
ここでCertiKが皆さんに呼びかけたいのは、いかに強力に見えるツイッターですら、ハッカー攻撃のリスクがあるということだ。したがって、あるプロジェクトが「絶対安全」と信じすぎることは危険である。0.00000000000001%の可能性でも攻撃されるなら、マーフィーの法則に従えば、それは必ず起きる。だからこそ、セキュリティへの投資は不可欠なのである。CertiKは世界トップレベルのブロックチェーンセキュリティの専門家として、この0.00000000000001%の脆弱性を見つけ出し、それを解消することを目指している。もし貴プロジェクトにご相談が必要であれば、[email protected]までメールをお送りください。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News














