全3990文字
PR

世界のユーザー数が3億3000万人を超える米ツイッター。2020年7月にリモートワークの隙を突かれ大量のアカウントが乗っ取られた。ビットコインを送金させる不正投稿で11万8000ドル以上が盗まれた。当時のツイッター社は最高情報セキュリティー責任者も不在だった。調査したニューヨーク州金融サービス局は政府の規制が必要だと指摘する。

 世界の月間平均ユーザー数が3億3000万人を超え、各国の首脳もコメント発表などに利用する「Twitter」。米ツイッターは2020年7月15日(現地時間)、Twitterアカウントの大規模な乗っ取り被害に遭った。

 犯行グループは著名人や有名企業のTwitterアカウントを乗っ取り、暗号資産(仮想通貨)のビットコインを指定のアドレスに送金すれば「2倍にして返す」といったメッセージを不正投稿した。米司法省は2020年7月末に米フロリダ州や英国に住む容疑者を突き止め起訴している。容疑者に17歳(当時)少年が含まれていたことから注目を集め、一連の事件は「ツイッターハック」と呼ばれる。

 米ニューヨーク州金融サービス局(NYDFS)は2020年10月14日に調査報告書を公表した。これによると、一連の不正投稿で11万8000ドル(約1230万円)以上のビットコインが盗まれた。犯行グループは高度な技術や最新手法を一切使わず、「ソーシャルエンジニアリング」と呼ぶ手法でツイッター社の社内システムに侵入していた。

 ソーシャルエンジニアリングとは、人間の心理的な隙やミスにつけ込んで機密情報などを盗み出す古くからある攻撃手法だ。ツイッター社がこうした手法に脆弱だったという事実は、「社会的影響力の大きいインフラを担う企業に自主的なサイバーセキュリティー対策を任せるのはリスクが高いことを示している」とNYDFSは指摘する。そのうえで、米連邦政府に対して適切な規制を制定するよう提言した。報告書を基に知られざるツイッターハックの全容を振り返る。

IT部門と偽って従業員に電話

 事件の始まりは2020年7月14日午後だった。犯行グループはツイッター社のIT部門のヘルプデスクを名乗り、VPN(仮想私設網)接続で報告された問題に対処するためと偽って、在宅勤務中の複数の従業員に電話をかけた。ツイッター社も多くの企業と同様、新型コロナウイルスの感染拡大を防ぐため、2020年3月からリモートワークに切り替えていた。犯行グループもこうした事情を把握していた。

 犯行グループは従業員に電話をかけると、ツイッター社が利用している正規VPNサイトと似たドメイン名で同じデザインのフィッシングサイトにアクセスするよう誘導した。そして実際にだまされる従業員がいた。というのもツイッター社では従業員がVPN接続を利用して業務をしていたなかで日常的にVPN接続のトラブルを経験しており、IT部門の支援を必要としていたためという。

 電話でだまされた従業員がフィッシングサイトにログイン情報を入力すると、犯行グループはツイッター社の正規VPNサイトでそのログイン情報を同時に入力していた。これにより従業員のスマホに多要素認証(MFA)の通知が届く。当時のツイッター社はスマホアプリベースのMFAを採用していた。だまされた従業員が認証情報を入力したことで、犯行グループはMFAも突破してツイッター社の社内システムへの侵入に成功した。

 NYDFSの報告書によると、犯行グループはツイッター社の従業員がSNS(交流サイト)に公表していた自宅の住所や携帯電話の番号だけでなく、業務内容、社内の役割や肩書まで特定する下調べをしていたようだ。電話でフィッシングサイトに誘導する際の会話を通じて社内業務に関する情報も聞き出していた可能性があるという。

 ツイッター社には限られた従業員だけが利用できるTwitterアカウントの内部管理ツールがある。アカウントに関連したメールアドレスや電話番号、ログイン時のIPアドレスなどを管理するもので、ユーザーの求めに応じてメールアドレスの更新やパスワードのリセット、多要素認証の有効化などを実施している。法令違反のコンテンツを禁止する各国の要請に応じたり、ツイッター社の利用規約に違反したコンテンツをブロックしたりするため、特定のアカウントやツイートを制限することも可能だ。

 犯行グループが最初に悪用した従業員のアカウントはこの内部管理ツールにアクセスできないものだった。ただ同アカウントを活用して社内情報システムを詳しく調べていた。他システムへのアクセス方法を含むイントラネットの情報を入手していたという。

 翌7月15日、犯行グループは内部管理ツールにアクセスできる別の従業員に狙いを定めた。標的になった従業員には、裁判所の命令やコンテンツの削除要求といった機密性が高い法的対応の担当者らも含まれていたという。ここまでは犯行グループによる攻撃の第1段階にすぎなかった。