Twitterハッキング事件の内幕とその後

2020年9月24日午後12時

Twitterは過去最大のハッキングからいかに生き延び、次のハッキングを阻止する計画か

7月15日、Twitterは機能不全に陥った。選挙日にそんな状況はあり得ない。

WIREDに掲載されているすべての製品は、編集者が独自に選定したものです。ただし、小売店やリンクを経由した製品購入から報酬を受け取る場合があります。詳細はこちらをご覧ください。

7月15日は、 Twitterの最高技術責任者（CTO）であるパラグ・アグラワルにとって、一見何の変哲もない一日だった。Twitter上では、すべてが通常通りのように見えた。Tペインのファンはトラヴィス・スコットとの口論で彼を擁護し、ロンドン地下鉄がバンクシーの作品を撤去したことに人々は憤慨していた。アグラワルはベイエリアにある自宅の、幼い息子と暮らす部屋にオフィスを構えた。彼は普段の業務に精を出し始めた。Twitterのコアアルゴリズムにディープラーニングを統合し、あらゆる業務を円滑に進め、プラットフォーム上に絶え間なく流れる誤情報や偽情報、そして不正情報に対抗するのだ。

しかし、西海岸では午前中半ばまでに、組織全体に危機信号が伝わり始めていました。誰かが従業員の認証情報をフィッシングしようとしており、しかも巧妙でした。カスタマーサービスやテクニカルサポートの担当者に電話をかけ、パスワードのリセットを指示していました。多くの従業員はメッセージをセキュリティチームに伝え、業務に戻りました。しかし、騙されやすい数人――おそらく4人、6人、あるいは8人――はより柔軟に対応しました。彼らはハッカーが管理するダミーサイトにアクセスし、ユーザー名とパスワード、そして多要素認証コードが表示される方法で認証情報を入力したのです。

その後まもなく、@drug、@xx、@vampireといった短いハンドルネームを持つ複数のTwitterアカウントが不正アクセスを受けました。いわゆるOGユーザー名は、一部のハッカーコミュニティでは、アッパー・イースト・サイドで印象派の作品が評価されているように高く評価されています。Twitter社もこのことを認識しており、社内では優先度の高いアカウントとして位置づけています。しかし、この問題はまだアグラワル氏には伝わっていませんでした。Twitter社には、セキュリティインシデントのトリアージを行う専任の検知・対応チームがあります。DARTは疑わしい活動を検知していましたが、必要な対応は限定的でした。無名のボットから自由世界のリーダーまで、数億人のユーザーを抱える広大なソーシャルネットワークを運営している場合、このようなことは日常茶飯事です。CTOに常に説教する必要はありません。

しかしその後、東部標準時午後3時13分、仮想通貨取引所バイナンスが、約5200万ドル相当のビットコインをコミュニティに「還元する」と発表する、あり得ないツイートを投稿しました。そのツイートには、詐欺サイトへのリンクが貼られていました。その後1時間で、11の仮想通貨アカウントがこれに追随しました。そして東部標準時午後4時17分には、イーロン・マスク氏が約4000万人のフォロワーに向けて、典型的なビットコイン詐欺のツイートを投稿しました。数分後、ビルゲイツ氏も同様のツイートを投稿しました。

すぐにアグラワル氏が持っていたあらゆる通知デバイスが鳴り始めた。Slack、メール、テキストメッセージ、あらゆるものが。何かがひどくおかしくなりかけていた。東部標準時午後4時55分、ツイートの頻度が急上昇した。Uber、Apple、カニエ・ウェスト。ジェフ・ベゾス、マイク・ブルームバーグ、そして再びイーロン・マスク。Twitterは攻撃を受けている。

最初の数秒間、圧倒的な感情は不確実性、そして恐怖さえ感じられた。有名アカウントがスラッシャー映画の犠牲者のように次々と消えていき、次は誰が、どのように消えていくのか、全く見当もつかなかった。システムが侵害され、Twitterは次に何をすべきか考えなければならなかった。全員を締め出すのか？一部のアカウントを閉鎖するのか？もし攻撃が内部から来ているのなら、一体誰が信頼できるのか？社内の全員が対応の必要性を感じていたが、具体的な方法を見出せなかった。「リスクは計り知れないほど大きかった」とアグラワル氏は言う。

あの恐ろしい瞬間、そしてあの恐ろしい日は、さらに恐ろしい可能性をも呼び起こした。もし誰かがプラットフォームをハッキングし、アメリカの民主主義を覆そうとしたらどうなるだろうか？それ以来、Twitterは11月3日までに防御を強化する取り組みに着手し、システム、ユーザー、そしてアメリカの民主主義そのものをより強固に守るための変更を次々と展開してきた。実際、本日、一連の新たなセキュリティプロトコル、従業員への義務的研修、そしてポリシーの変更を発表している。その理由を理解するには、7月15日、そしてTwitterを巻き込んだ混乱を振り返ることが重要だ。

ビットコインに関するツイート後の数時間は、プラットフォーム上と社内の両方において、Twitter史上最も混乱した時間の一つとなった。まずやるべきことは、詐欺行為を阻止することだ。

理想的には、自動化システムが、これほど短期間でこれほど多くのメールアドレスを変更したTwitter担当者を特定できたはずだ。しかし、Twitterの元セキュリティ担当者は、同社がそのような早期警告技術への投資を遅らせ、信頼の文化が潜在的な内部脅威を見逃していたと述べている。

攻撃の発信元が分からなかったため、Twitterは次にどの著名人が攻撃を受けるか予測できなかった。サービスを完全に停止することは現実的ではなかった。ある元幹部によると、Twitterが望んだとしても容易にそれができるかどうかさえ不明だという。しかし、東部標準時午後6時18分までに、チームは次に厳しい措置を講じた。認証済みアカウントのツイートを全てブロックするのだ。さらに、過去数週間にパスワードを変更したアカウントには、さらなる制限を課した。

混乱が続き、ツイートできる人の多くが「青いチェック」の沈黙を祝った。しかし、それは情報のボトルネックも生み出した。国立気象局は竜巻注意報を発令できず、WIREDを含むメディア企業はハッキングに関するニュースをツイートできなかったため、Twitter公式サポートアカウントがプラットフォーム上で信頼できる主な情報源となった。最新情報は1つの長いスレッドに少しずつ流れ、最終的には9月まで続き、Twitterはほぼリアルタイムで情報を共有した。そして、Twitterが知っていたことはこれだった。少なくとも1件のフィッシング電話は成功したのだ。

Twitter社内では、アグラワル氏と彼のチームが、考えられる行動方針のトレードオフを必死に検討した。社内ネットワークを厳重に遮断すればするほど、詐欺に対抗する能力は低下する。また、犯人を追跡したり、チーム内で誰が侵入されたのかを突き止めたりする能力も失われる。そこで彼らは、まず穏健な第一歩を踏み出した。社内VPNから全員、本当に全員を締め出すのだ。セキュリティ対策チームがアクセスを失うことや、全員が慌ててログインし直してシステムが過負荷になる可能性を避けるため、一度にすべてを行うことは避けた。プロセスを段階的に進めるため、データセンターへのアクセスを一度に一つずつ遮断した。会議から突然切断された場合は、自分がリセットする番だった。

次に、従業員をセキュリティ専門家が「ゼロトラスト」と呼ぶ環境にログインさせるプロセスが開始されました。CEOのジャック・ドーシーから始まり、組織図の下位層へと進み、全員が上司とのビデオ会議に参加し、上司の前で手動でパスワードを変更する必要がありました。これは、ITデスクの外に全員を列に並ばせるという、コロナ禍版のやり方でした。アグラワル氏はすぐに経営陣全体と会議を開きましたが、対応策を計画するためではなく、全員が本人であることを確認するためでした。

「誰もが信頼できない人間だと想定せざるを得ませんでした」と、Twitterのグローバルデータ保護責任者であるダミアン・キアラン氏は語る。各マネージャーは、社内ソフトウェアを使って、各従業員にスクリプトと一連のパスワード変更手順を指示しなければならなかった。

部外者の中には、この反応は少々行き過ぎだと感じた人もいた。Facebookの元最高セキュリティ責任者、アレックス・スタモス氏は、カスタマーサービス担当者を狙ったフィッシング詐欺が、アカウントの完全停止に繋がったことに驚きを隠さない。公開記録から判断するに、Twitterはログを分析し、問題を引き起こしているアカウントを閉鎖する方がはるかに効果的だったはずだ。「Active Directoryに国家安全部が潜んでいるとしたら、このような措置を取ることになる」とスタモス氏は述べ、中国のエリート国家支援ハッカーの拠点を指してこう続けた。

別の元Twitter幹部社員もほぼ同じことを述べている。「システムレベルの欠陥があった。こんなことが起こるべきではなかった。問題は誰かがフィッシング詐欺に遭ったことではなく、一度フィッシング詐欺に遭った時点で、会社が適切なシステムを導入しておくべきだったことだ。」

Twitterはこれまでにも大規模なアカウント乗っ取り事件に見舞われてきた。ジャック・ドーシー氏自身も1年余り前に@jackアカウントの乗っ取りに遭っている。しかし、これらの事件は主にサードパーティ製アプリの脆弱性、あるいはドーシー氏の場合はいわゆるSIMスワップ攻撃（他人の電話番号をハッカーのデバイスに転送する）に起因するものだった。7月15日のハッキング事件は、Twitter自身のシステムに影響を与えたという点で従来の事件とは異なっていた。そして、首謀者とされる人物がフロリダ州の10代の少年だったという点も、今回の事件の特徴だった。

司法省とヒルズボロ郡州検察局が提出した告訴状によると、この計画はフロリダ州タンパ出身の17歳、グラハム・イヴァン・クラークが主導したもので、以前はマインクラフトで詐欺を専門としていた。クラークは以前、仮想通貨の窃盗を専門とするSIMスワッピングコミュニティに参加していた。しかし、クラークは短くて一般的なハンドルネームにこだわるオンラインコミュニティ「OGUsers」にも精通していた。Twitterハッキングは最終的に130のアカウントが標的となったが、当初はもっと小規模だったとされている。後に起訴状に記録された、彼のパートナー候補の一人、ニマ・ファゼリとの会話は次のようなものだった。

クラーク：「よお」

ファジリ：「やあ」

クラーク:「私はTwitterで働いています / あなたの代わりに@を取得できます / 知らせてください / 誰にも言わないでください。」

ファゼリ「笑。証明してみろよ」

クラーク容疑者は、ファゼリ氏と別の仲介人の協力を得て、アカウントへの直接アクセスで数千ドルを請求したとされている。彼は、マインクラフトのケープをめぐってティーンエイジャーを騙し取ることから、瞬く間に1兆ドル相当の資産を持つ人々のアカウントを掌握するまでに成長した。

ツイッター本社

検察官によると、クラーク容疑者はその日のどこかの時点で当初の計画を見直し、「@SCを乗っ取るよりも@KanyeWestを乗っ取る方が興味深い」と考えたという。その後すぐに、マスク、ゲイツ、ジェフ・ベゾス、ジョー・バイデンなど、他の人物の計画も乗っ取り、初歩的なビットコイン詐欺で約11万7000ドルを稼いだとされている。クラーク容疑者は8月4日、合計30件の容疑について無罪を主張した。連邦捜査官は、このハッキング事件に関連してマサチューセッツ州の10代の少年も捜査していると報じられている。

Twitterが今回と全く同じ攻撃の被害に遭う可能性は、少なくとも近い将来には低そうだ。FBIの捜査に協力したセキュリティ企業Unit 221Bの最高研究責任者、アリソン・ニクソン氏は、OGユーザーは身を潜めていると述べている。しかし、だからといってTwitterが安心できるわけではない。「おそらく今回の攻撃は、この方法で行われたのでしょう」とニクソン氏は言う。「選挙に関しては、様々な悪意ある人物が関与することで、非常に大きな混乱が生じるでしょう。どうなるかは分かりませんが」

Twitterも同様だ。しかし、管理パネルにアクセスできる10代の若者がTwitterを崩壊させることができるなら、ウラジーミル・プーチン大統領なら何ができるか想像してみてほしい。

Twitterが通常の状態に戻るまで約1ヶ月かかりました。従業員は当初の対応で利用を禁じられていたツールを徐々に利用できるようになりました。しかし、すべてのツールが利用可能になったわけではなく、以前のアクセスレベルに戻ったわけでもありません。ソーシャルメディア企業を運営するなら、アカウントへのアクセス権を持つ人材が必要です。レディー・ガガはパスワードを忘れるかもしれませんし、イーロン・マスクは携帯電話を紛失するかもしれません。誰かが会社の利用規約に違反し、アカウントを追放される可能性もあります。そうなると、アカウントを追放する権限を持つ人材が必要になります。同社幹部が指摘するように、ユーザーへの配慮とプラットフォームの安全性確保は相反することがあります。

しかし、Twitterが直後に最初に認識したことの一つは、あまりにも多くの人があまりにも多くのものにあまりにも多くのアクセスを持っているということだった。「重要なのは、一人ひとりにどれだけの信頼を置いているか、そしてどれだけの人に幅広い信頼を置いているかということです」とアグラワル氏は言う。「これらのツールにアクセスできる個人に与えられるアクセスの量、つまり信頼の量は、今日では大幅に減少しています。」

Twitterが実施した最も大きな変更点の一つは、全社員に物理的な二要素認証の使用を義務付けたことだ。ハッキング事件以前からTwitterは社員への物理的なセキュリティキーの配布を開始していたが、プログラムの展開を加速させた。数週間以内に、契約社員を含むTwitter社員全員がセキュリティキーを持ち、使用が義務付けられる。この変更は、スタモス氏がWIREDとの電話会議で提案した枠組みによく合致する。彼によると、ユーザーを認証する方法は主に3つある。ユーザー名とパスワード、二要素認証、そして追跡可能な会社支給のデバイスだ。「ほとんどのことに関しては、このうち2つで十分です」と彼は言う。「重要なことに関しては、3つすべてが必要です」

アメリカ大統領選挙が近づく中、Twitterハッキング事件で最も心に残るのは、どれほど深刻な事態になり得たかという点だ。Twitterの調査によると、攻撃者は130人の標的のうち36人のダイレクトメッセージにアクセスしたことが判明した。彼らは8人の被害者の「あなたのTwitterデータ」情報をダウンロードした。これには、彼らが送信したすべてのツイート（プライベートダイレクトメッセージも含む）、その時の時間と場所、そしてTwitterを使用しているデバイスが含まれている。仮想通貨よりもスパイ活動に興味を持つハッカーなら、このようなアクセスは大喜びするだろう。

より直接的な混乱の可能性もある。選挙の混乱を狙う者が、ジョー・バイデン氏のアカウントから絶妙なタイミングでツイートを投稿すれば、大きな混乱を引き起こす可能性がある。あるいは、ロシアが2016年に米国で、翌年にはフランスで実行したハッキング・アンド・リーク作戦のような手口で、混乱を引き起こす可能性もある。あるいは、これらの手口を組み合わせるかもしれない。つまり、アカウントをハッキングし、そのアカウントのハンドルネームから盗み出した、真実かつ機密性の高い情報のリポジトリを空にするかもしれない。Twitterはこれにどう対処するだろうか？

Twitterは最高セキュリティ責任者（CSO）を置かずにこれらの脅威に対処している。昨年12月以来、最高セキュリティ責任者はいない。それでも、同社は終末的な事態への備えは整えている。3月1日から8月1日にかけて、Twitterは上記のシナリオをはじめとする様々なシナリオを机上演習でリハーサルし、事態が必然的に悪化した場合の対応策を練り、次にダムが決壊した際にセキュリティチームが下流の漁船に取り残される事態に陥らないよう、選択肢を精査し、合理化を図った。そしてもちろん、プラットフォーム上の不和がハッカーではなく、ただ単にくだらない投稿をしたいだけの政治家や大統領によって引き起こされた場合の対応策も練っておく必要がある。

しかし、7月15日の出来事は、あらゆる危機を事前に予測できるわけではないことを示している。想像力の限界を克服する方法の一つは、構造的な変化を起こすことだ。Twitterは、近々従業員に物理的な認証キーの使用を義務付けるだけでなく、社内研修体制を強化した。従業員全員が強化された身元調査を受け、プライバシーの理解とフィッシング詐欺の回避に関するコースの受講を義務付けている。一方、7月に詐欺に遭った従業員のその後は不明だ。プライバシー保護のため、そして司法省による捜査が継続中のため、Twitterは彼らの身元を明かしていない。現在に至るまで、Twitter社内でその事実を知っているのはほんの一握りの人間だけだ。

同社は社外にも目を向け、政治家、選挙運動関係者、政治ジャーナリストといったリスクの高いユーザーに対し、より厳格なパスワード要件を課している。これらのユーザーアカウントには二要素認証の有効化を推奨しているものの、必須ではない。また、Twitterがどの程度まで社内対策を強化しているのか、またどのアカウントを対象にしているのかは依然として不明だ。「内部者による攻撃の可能性があれば（確かに存在し、過去にも事例がある）、2人による承認ポリシーが必要になるでしょう」と、ソーシャルエンジニアリングを専門とするSocialProof Securityの共同創業者、レイチェル・トバック氏は述べている。「4つの目」原則としても知られるこの手順は、重要な操作には少なくとも2人の従業員の承認が必要となることを意味する。ボブがハッキングされたとしても、サリーはハッキングされていないのが理想だ。

Twitterの元セキュリティエンジニア、ジョン・アダムズ氏は、この措置はフォロワー1万人以上のアカウントすべてに適用されるべきだと述べている。Twitterの広報担当者は、「カスタマーサポートのワークフローはそれぞれ異なり、必要なアクション／サポートに基づいて異なるレベルの承認が必要となる」とだけ認めた。別の元Twitterセキュリティ担当者は、同社は厳選されたアカウント（主に現職の世界指導者）を別のサーバーセットに保管し、アクセス権限を少数のTwitter従業員にのみ付与することで保護していると述べた。もし対象範囲が本当にごく狭いとすれば、ドナルド・トランプ氏が今年の夏に攻撃を免れた一方で、イーロン・マスク氏とジョー・バイデン氏がそうであった理由を説明できるかもしれない。

11月3日前後のTwitterの任務は、攻撃を避けることではない。これほど大きな標的には、攻撃を避けることはできない。むしろ試金石となるのは、今年に入ってから着実に、そして7月15日以降は緊急性を増して構築してきた体制が、攻撃を封じ込めるのに十分かどうかだ。炎の矢が焚き火に変わる前に、それを消し止めなければならない。それができる保証はない。しかし、彼らは警戒を怠らず、消火器も備えているだろう。彼らは以前にも同じような経験をしているのだ。

WIREDのその他の素晴らしい記事