ツイッター / WIRED
イーロン・マスクのTwitterフォロワー3700万人は、この提案を一時的には受け入れたかもしれない。テスラとスペースXの創業者であるマスクは、特定のウォレットに送金されたビットコインは2倍の金額で返金されるとツイートしたようだ。しかし、その3分後、民主党大統領候補のジョー・バイデンが全く同じメッセージをツイートし、さらに少し後にはバラク・オバマも、カニエ・ウェスト、ジェフ・ベゾス、キム・カーダシアン、そしてUberとAppleのアカウントと共にツイートしたことで、何かがおかしいことがさらに明らかになった。
ビットコインソフトウェアプロバイダーのChainalysisによると、5時間以内に少なくとも375件の取引が行われ、各ツイートに記載されたウォレットに12万ドル以上のビットコインが送金された。認証済みアカウントが投稿した同様のツイートで使用された他の2つのウォレットにも、さらに100件の取引が記録され、6,700ドル相当の仮想通貨が送金された。「彼らは、誰かがすぐに見抜くだろうと分かっていたので、これは一種の強盗行為だと分かっていた」と、サリー大学のサイバーセキュリティ教授、アラン・ウッドワード氏は述べている。総じて言えば、ハッキングの犯人にとって、悪くない一日だったと言えるだろう。
Twitterにとって、これは大惨事でした。創業者兼CEOのジャック・ドーシー氏は、「Twitter社員全員にとって厳しい一日」と表現しました。実際、これは同社がこれまで経験した中で最悪のサイバーセキュリティインシデントと言えるでしょう。Twitterは、管理ツールへのアクセス権を持つ少数の従業員を標的とした、組織的なソーシャルエンジニアリング攻撃が行われたと主張しています。この攻撃により、彼らは著名人のアカウントを乗っ取り、彼らに代わってツイートすることができました。「彼らが他にどのような悪意のある行為を行ったか、あるいはどのような情報にアクセスしたかについては調査中です」と同社は付け加えました。
「こんなことはまずない」と、サイバーセキュリティ企業F-Secureの最高研究責任者、ミッコ・ヒッポネン氏は語る。「これはTwitter史上最大のセキュリティインシデントだ」。Twitterは攻撃阻止に際し、綿密に計画された侵入阻止というよりは、むしろ武力による対応に終始した。攻撃がリアルタイムで発生している状況では、事態は複雑になりかねないからだ。認証済みアカウントはすべて、原因究明のため数時間にわたりツイート投稿を禁止された。また、宣伝されていたビットコインウォレットのアドレス共有もブロックされた。
このインシデントは、Twitterなどのソーシャルプラットフォームにおいて管理者アカウントが持つ強大な力を如実に示しました。様々な報道によると、攻撃者はTwitterの従業員に賄賂を渡して管理ダッシュボードへのアクセスを許可し、アカウントからツイートを投稿できるようにしたか、スピアフィッシング攻撃などのソーシャルエンジニアリングを用いてダッシュボードへのアクセスを獲得した可能性があります。その後、攻撃者はパスワードリセットメッセージの送信先メールアドレスを少なくとも1回変更し、アカウントのパスワードをリセットしてアクセスを獲得したようです。
その圧倒的な力こそが懸念材料だと、オックスフォード大学のサイバーセキュリティ研究者で客員研究員のビクトリア・ベインズ氏は指摘する。「アカウントへの管理者権限を持ち、コンテンツの削除やアカウントロックといった管理操作を実行できることと、アカウント所有者になりすましてコンテンツを投稿できることは、全く別物です」とベインズ氏は指摘する。「アカウントをリセットしたり、ロックアウトされたユーザーを支援できるサポートスタッフがいるのは珍しいことではありません」と、サイバーセキュリティ企業RiskIQの脅威研究者、ヨナサン・クリンスマ氏は指摘する。「奇妙なのは、サポートスタッフがいかなる管理体制も整えずにこうしたことを実行できたように見えることです」
これはTwitterが過去にも批判されてきた点です。2011年には、米国連邦取引委員会(FTC)と和解しました。和解の根拠は、「同社のデータセキュリティにおける重大な欠陥により、ハッカーがTwitterの不正な管理権限を取得することを可能にした。これには、非公開のユーザー情報やユーザーが非公開に設定したツイートへのアクセス、そしてどのアカウントからでも偽のツイートを送信する機能が含まれていた」というもので、これは現在の問題と不気味なほど似ています。今回の事件でも、Twitterが規制当局から制裁を受ける可能性は高いでしょう。
「私たちは皆、組織的なデジタル攻撃の痛手を負いました」と、サイバーセキュリティ研究者のアンドレア・ストロッパ氏は語る。Twitterはこれを迅速に封じ込めるのに苦労したが、それは驚くべきことではないとヒッポネン氏は言う。「ネットワーク内で複数の管理者が同時に作業していて、そのうちの1人が攻撃者だった場合、全員が同じ権限を持つことになります」と彼は言う。「同じアクセス権を持つ複数の神が互いに争っているようなもので、攻撃者をすぐに見つけて追い出すことはできません。」
攻撃開始から1日以上が経過した現在でも、一部のアカウントへのアクセスが制限されているのも、過剰な警戒によるものだ。「攻撃者は、検知された際にアクセスを回復できるようなシステムを構築しようとします」とヒッポネン氏は言う。「Twitterは、何が起こっているのか把握するためにログを調べている可能性が高いでしょう。」
最も懸念されるのは、侵入者がツイート機能だけでなく、あらゆる種類のデータにアクセスできてしまうことです。ヒッポネン氏によると、侵入者は他のユーザーを騙すためにダイレクトメッセージを送信しており、攻撃者はダイレクトメッセージの読み取りと書き込みも可能だったとのことです。
「誰かのアカウントにアクセスできれば、どんなデバイスからでもダイレクトメッセージ(DM)を読むことができます」とウッドワード氏は付け加える。「適切なエンドツーエンド暗号化があれば、元のデバイスが必要になります。おそらくこれは意図的に行われているのでしょう。私たちは様々なデバイスからTwitterにログインしていますから。しかし、懸念材料です。」Discordのグループで共有されたスクリーンショットを見ると、ユーザーの多くの個人情報が、使用されたとみられる管理者ダッシュボードからもアクセス可能であることが分かります。
しかし、表面上はTwitterは今回の攻撃から軽微な被害に終わったように見える。ただし、ビットコイン詐欺が今回の事件の全てだったかどうかについては意見が分かれている。ストロッパ氏は、今回のハッキングのタイミングは「興味深い」と述べている。「今後数ヶ月で米国大統領選挙があります」と彼は説明する。「私たちは、集団、敵対国、そしてテロリストがデジタルプラットフォームを悪意ある活動に利用する、絶え間ない非対称戦争を生きています。今回のような大きなニュースを目にするたびに、私たちは困惑してしまいます。」
ウッドワード氏もこの点について疑問を抱いている。「陽動作戦だったのだろうか? 誰かがそれらのツールを実行できるほどのアクセス権を持っているなら、他に何ができるというのだろうか? おそらく、ネットワークを巡回してすべてが正常であることを確認する必要があるため、相当な掃除作業が行われているのだろう。文字通り、リモートアクセスツールなど、ありとあらゆるものをそのまま残しておける可能性があるのだ。」
ヒッポネン氏は、ビットコイン詐欺がハッカーたちが後々アクセスするための何かを隠すための陽動作戦だったという確信は薄いと述べている。また、米国大統領選挙に向けて使えるような情報が隠されていたとも考えていない。「もしTwitterに神レベルのアクセス権を得たとして、彼らがビットコインを盗んだだけだと本当に信じられるだろうか?私はそうは思わない。そう思わない理由は、攻撃者がビットコイン詐欺だけを実行したわけではないからだ。彼らは3つの別々の詐欺を実行したのだ。」
彼らはビットコインウォレットの情報をツイートすると同時に、ビットコイン業界の主要プレイヤーのTwitterアカウントも乗っ取り、人々をTelegramのプライベートグループに誘導して、アクセスを得るために金銭を要求していた。これもまた詐欺だ。同時に、いわゆる「OG」ハンドルも乗っ取っていた。これは、売りに出せば巨額の利益を得られる、価値の高い短いTwitterアカウント名だ。「これは、彼らが持っていたアクセスを収益化する全く異なる3つの方法だ」と彼は言う。「全く異なることをしようとしている国家が、手っ取り早く金儲けをするために、あれだけの手間をかけるだろうか?」
サイバーセキュリティ企業Unit 221Bのチーフリサーチオフィサー、アリソン・ニクソン氏も、初期評価においてこの点に同意している。「犯人は『OG』コミュニティ出身で、内部関係者への賄賂や強要は彼らの常套手段だと考えています」と彼女は言う。「貧しい人々は簡単に操られてしまうというのは世の常で、これに陥った企業はカスタマーサービス担当者に、実際の給与額をはるかに超える権力を与えてしまうのです。」
「彼らがあれほど手間のかかる方法で金儲けをしようとしていたという事実から、結局のところ彼らがやろうとしていたのはこれだったと言えるでしょう。つまり、この方法で金を儲けるより良い方法を考え出せなかった、若いギャング集団だったということです」とヒッポネンは言う。「彼らは何でもできたはずですが、結局これを選びました。そして、これは言い訳ではなかったと思います。彼らが思いついた最善の策だったのは幸運だったと思います。」
この記事はWIRED UKで最初に公開されました。
