ツイッターのハッキング、最大8アカウントから情報流出 パスワード変更被害は45件
ツイッターの米著名人アカウントが多数ハッキングされた事件で、ツイッターは18日、ハッカーが同社スタッフにしか使えないはずの内部ツールを利用して犯行に及んでいたことを認めた。
このハッキングでは、バラク・オバマ前米大統領や米電気自動車メーカー「テスラ」のイーロン・マスク最高経営責任者(CEO)、米ラッパーのカニエ・ウェスト氏、米マイクロソフト創業者ビル・ゲイツ氏ら多数のセレブのアカウントが被害に遭った。
仮想通貨ビットコイン詐欺に絡んだ乗っ取りとみられ、被害に遭ったアカウントでは、ビットコインでの寄付を呼びかける投稿がされた。
ツイッターはまた、犯人が最大8つのアカウントからデータをダウンロードしていたとも明かした。
データが流出したアカウントは明らかにしなかったが、いずれも青色のチェックマークが表示されている「認証済み」アカウントではないという。
<関連記事>
しかし、ハッカーがツイッターデータのダウンロードツールを利用できたということは、今やハッカーが影響を受けたユーザーの個人情報などにアクセスできる可能性があることになる。
ここでハッカーがアクセスできるかもしれない情報には以下のものが含まれる――。
- 写真や動画を含む、プライベートなダイレクトメッセージ
- スマートフォンのアドレス帳からツイッターアプリがインポートしたはずの連絡先一覧
- サービスを利用した際に記録された位置情報履歴
- ミュートやブロックしているアカウントの詳細
- ユーザーの利用動向からツイッターが推定した興味や人口統計の情報
さらに米紙ニューヨーク・タイムズは、チャットアプリ「Slack」を使いツイッター関係者が共有していた認証情報がハッカーの手に渡り、ハッカーはそれを使ってツイッターを攻撃をしたようだと書いている。Slackは一部企業がメール代わりに使用しているサービスだ。
同紙はまた、少なくともイギリス出身者2人が事件に関与しているとも示唆している。
130のアカウントが標的に
ツイッターによると、計130のアカウントが標的にされた。ハッカーはそのうち45のアカウントのパスワードをリセットし、アカウントの制御に成功したという。
同社は、犯人が盗み取ったユーザー名の一部を売ろうとしているのかもしれないと考えていると付け加えた。
「ハッカーたちは数人の従業員を操り、従業員の資格情報を使ってツイッターの内部システムにアクセスすることに成功した」と、ツイッターは声明で述べた。
「この事件の調査を継続し、法執行機関と連携し、我々のシステムのセキュリティーを改善するために取るべき長期的対応を決定していく」
またツイッター社は、「とても恥ずかしいし、がっかりしている。そして何より、申し訳なく思っている」と付け加えた。
ダイレクトメッセージも閲覧か
ツイッターによると、ハッカーは「ソーシャル・エンジニアリング攻撃計画」で内部システムやツールへのアクセス権を持つ特定の従業員を標的にした。
「ソーシャル・エンジニアリング攻撃とは、特定の行為をしたり、機密情報を漏らすよう、人を意図的に操作する手法」で、ハッカーはスタッフ数人を操ることに成功したという。
ツイッターの内部システムに侵入すると、ハッカーはユーザーの過去のパスワードは見られないものの、メールアドレスや電話番号といった個人情報にアクセスできる。こうした情報は、内部サポートツールを使うスタッフが見られる情報だ。
ツイッターは、ハッカーはほかの情報も閲覧できていた可能性があるともした。これにはダイレクトメッセージが含まれているのではとの憶測が浮上している。
カニエ・ウェスト氏やキム・カーダシアン・ウェスト氏、あるいはイーロン・マスク氏のプライベートメッセージは、 ダークウェブ(暗号化などでアクセスに制限のあるインターネットコンテンツ)のフォーラムでお金になる可能性がある。大統領選民主党候補のジョー・バイデン前副大統領やマイケル・ブルームバーグ前ニューヨーク市長のプライベートメッセージが売買されれば、政治的影響を及ぼす可能性もある。
ハッカーが他のユーザーにしたように、こうした著名人の全データをなぜダウンロードしなかったのかは不明だ。
ツイッターは影響を受けたユーザーと「直接連絡を取るために積極的に動いている」と声明で説明。ハッキングへの初期対応として、今もアカウントがロックされているユーザーのためにアクセスの復元を続けるとした。
ハッキングで何が起きたのか
ビットコインに関連した多数のアカウントでは15日、ビットコインのウォレット(デジタル財布)に送金すれば2倍にして「返す」などとする投稿が相次いだ。
このビットコイン詐欺は、キム・カーダシアン・ウェスト氏やバイデン前副大統領といった知名度の高いアカウントのほか、米アップルや米配車サービス大手ウーバーのアカウントにまで拡大した。
ツイッターはこの前代未聞の攻撃を封じ込めようと奔走し、認証済みアカウントの全ユーザーのツイートを一時停止した。
しかし、最も著名なツイッターユーザーの1人のドナルド・トランプ米大統領は影響を受けなかった。
トランプ氏のアカウントをめぐっては、2017年にツイッターのある従業員が最終出社日にアカウントを停止し、11分間にわたってアカウントが消える騒ぎがあった。その後、同氏のアカウントには追加の保護措置が取られているのではないかとの憶測が以前から上がっていた。
ニューヨーク・タイムズは匿名のホワイトハウス関係者やツイッター従業員の話を引用し、こうした保護措置によってトランプ氏のアカウントはハッキング攻撃を免れたと確認した。
一部の人にとっては送金を求める投稿が詐欺であることは明白だった。しかしハッカーたちは10万ドル(約1070万円)以上の送金を受け取った。
ハッカーについてわかっていること
ビットコインの追跡は非常に難しく、サイバー犯罪者が使用した3つの暗号通貨ウォレットはすでに空になっている。
デジタルマネーは小額に分割され、「ミキサー」あるいは「タンブラー」と呼ばれるサービスを経由する可能性が高く、犯人の追跡はさらに難しくなる。
関与した人物の手がかりは、ソーシャルメディア上での自慢話を通じて表面化している。その中にはツイッター自体も含まれる。
今週初めには、サイバー犯罪インテリジェンス企業ハドソン・ロックが、メールアドレスをリンク先のものに変更すればどんなツイッターアカウントでも盗めると宣伝する、ハッカーフォーラム上の広告を発見した。
この業者はまた、通常はツイッターの上級社員しか使えないはずのコントロール・パネルのスクリーンショットを投稿していた。アカウントにメールを追加あるいは既存のものを「切り離す」など、完全な制御ができるようにみえる。
つまり、15日にビットコイン詐欺が明るみになるより少なくとも36~48時間前には、ハッカーたちはツイッターのバックエンドへアクセスできる状態だったということだ。
研究者たちは今回のハッキングに関連するツイッターアカウントを、少なくとも1つ特定した。このアカウントは現在凍結されている。