ジャック・ドーシー氏が公共の場での議論の礼儀正しさを高めるために続けている取り組みは、金曜日に、匿名のハッカーが彼のツイッターアカウントを20分間乗っ取り、「ナチスドイツは何も悪いことをしていない」という@taytaylov3r氏の主張をリツイートしたことで、挫折した。
Twitterをご利用になったことがある方ならご存知かと思いますが、ナチス、白人至上主義者、その他の過激派に関する問題が現在も続いており、そのことは広く報道されています。taytaylov3rのアカウントはその後停止されたようです。
同社CEOのアカウント乗っ取りは、東部時間午後3時45分頃に始まったとみられ、@jackアカウントは20件近くのツイートとリツイートを投稿した。複数のツイートには#ChucklingSquadのタグが付けられていた。これは、今週アカウント乗っ取りを繰り返しているハッカー集団の名称とみられる。ドーシー氏以前にも、人気ポッドキャスト「Zane and Heath」のゼイン・ヒジャジ氏や、BigJigglyPandaとして知られるアンソニー・ブラウン氏など、多くのインフルエンサーが攻撃対象となっている。Chuckling Squadは、6月に遺体で発見されたYouTuberエティカ氏のアカウントにも侵入し、嘲笑的なメッセージを投稿していた模様だ。
つまり、@jackのハッキングは、一連の買収劇の中で、最新かつ最も注目を集める出来事となる可能性がある。Twitterはツイートでこの事件を認め(ドーシー氏が意図的に自身のアカウントから爆破予告を出したのではないかと疑う人がいるかもしれないので)、同社は「何が起きたのか調査中」だと述べた。
ブライアン・バレット(Twitter経由)
過去2週間に被害に遭ったインフルエンサーの中には、特にAT&Tを標的とした、いわゆるSIMスワップ攻撃を非難する者もいる。SIMスワップとは、ハッカーが通信事業者の従業員を説得または賄賂で買収し、SIMカードに関連付けられた番号を別のデバイスに切り替えさせることで、テキストメッセージで送信される2段階認証コードを傍受できるというものだ(強引なSIMスワッパーを止めるのは難しいが、少なくともSMSによる2段階認証から認証アプリに切り替えるべきだ)。AT&Tは、今月発生した一連のハッキング事件や@jack事件との関連性についてWIREDからの問い合わせにすぐには回答しなかった。
Twitterは金曜夜のツイートで、これはSIMの問題であると確認した。
手がかりとなりそうなのは、ツイート自体にありました。ツイートはCloudhopperクライアントから送信されたように表示されていました。Cloudhopperは、Twitterが2010年にSMSとの統合を強化するために買収したメッセージングインフラ企業です。そのため、ドーシー氏が長年何らかの形でCloudhopperにログインしたままで、ハッカーがそのアカウントを入手したのではないかという憶測が飛び交いました。しかし、これは正しくありません。
Twitter APIは、テキストメッセージから送信されたツイートを「Cloudhopper」クライアントからの送信として認識することが判明しました。これは、2017年にApple CEOのティム・クック氏がスマイリーマーク1つだけをツイートし、その後何もコメントせずにすぐに削除したという、ちょっとした謎にも繋がります。このツイートは、送信元がCloudhopperであるとも宣言していましたが、実際にはクック氏は誤って自身のTwitterアカウントにテキストメッセージを送信していたのです。このSMSの分類は、以下に示すように現在も続いています。
ブライアン・バレット
クライアントがツイートと一緒に表示する内容を手動で変更するのは非常に簡単で、今回もそれが起こった可能性があります。しかし、それは確かに最も単純な説明であり、侵入者が@jackからツイートを発射する最も簡単な方法でしょう。過去には、ハッキンググループがパスワードの使い回しを利用して著名なTwitterアカウントに侵入しました。しかし、ドーシーのTwitterアカウントに関連付けられた電話番号からツイートすることで、Chuckling Squadは彼のパスワードを知る必要がまったくなかったでしょう。Twitterが公開しているSMSツイートの設定ワークフローを見るとわかるように、どの時点でもパスワードを入力する必要はありません。その電話番号からテキストメッセージを送信することが、あなたの身元の証明となります。また、任意のアカウントの最新のツイートをSMSからリツイートすることもできますが、ハッカーがツイートしたアカウントはすべてすでに停止されているようなので、それが起こったことを確認するのは困難です。
さらに不明なのは、ドーシー氏がどのようにしてアカウントを無事に回復できたのかということです。Twitterがいずれ詳細な事後分析を発表してくれることを期待したいところですが、もしそうなった場合、今回の件がそうであったにせよそうでなかったにせよ、SIMカードへの過信が招いた結果についても考慮すべきでしょう。そうでなければ、最後に笑うのは必ず「くすくす笑う連中」です。
更新 2019年8月30日 午後8時25分 (EST): このストーリーは、Twitterによる攻撃の性質の確認を受けて更新されました。
WIREDのその他の素晴らしい記事
- 最高の巨大怪獣映画を観ている人はいない
- スマートフォンのバッテリーを最大限に活用する方法
- 壁に向かって走っています。急ブレーキをかけるべきか、それとも急ハンドルを切るべきか
- ハリケーンを核爆弾で攻撃する計画の歴史(そして他のものも)
- 剣を振るう戦士たちにとって、中世の戦いは生き続けている
- 👁 顔認識技術が突如として普及。心配するべきでしょうか?人工知能に関する最新ニュースもご覧ください
- ✨ ロボット掃除機からお手頃価格のマットレス、スマートスピーカーまで、Gear チームのおすすめ商品で家庭生活を最適化しましょう。
