Twitterハッキング事件、イーロン・マスク、オバマ、アップルなどが被害に

ビル・ゲイツ、イーロン・マスク、バラク・オバマ、ジェフ・ベゾス、マイク・ブルームバーグ、ジョー・バイデン、カニエ・ウェスト。これらは、水曜日の午後に侵入された、フォロワー数100万人を超える大手Twitterアカウントのほんの一部に過ぎません。いずれもビットコイン詐欺に利用されており、ハッカーたちはわずか数時間で既に10万ドル以上を稼いでいます。そして、その額は今も増え続けています。これを受けて、Twitterは認証済みアカウントのすべてではないにしても、多くのアカウントのツイートをブロックしたようです。

問題は東部時間の午後早くに始まったようで、複数の主要仮想通貨関連企業のアカウントが数分のうちに相次いでハッキングされた。標的となったのは、BinanceのCEOである趙長鵬氏、取引所Bitfinex、Gemini、Coinbase、ニュースサイトCoindeskなど複数だった。これらの企業はいずれも「コミュニティへの還元」という同一のメッセージと、「Cryptoforhealth」というサイトへのリンクを共有していた。しかし、現在、そのページは読み込まれていない。

攻撃者はすぐに、著名なIT企業の幹部、企業、著名人、政治家を標的にし、より露骨な詐欺行為を連発するツイートを投稿しました。ハッキングされたアカウントのツイートは、どれもほぼ一貫しています。「コミュニティに貢献します」というツイートが典型的な被害者のツイートです。「下記のアドレスに送ったビットコインはすべて2倍で返金します！1,000ドル送ったら2,000ドル返金します。これは30分間限定です」といった内容です。多数の未認証アカウントも同様のメッセージを送信していましたが、これらのアカウントも侵害されたのか、それともボットアカウントだったのかは不明です。

すべてのメッセージは同じデジタルウォレットに繋がっているようです。このウォレットは、東部夏時間午後3時3分に最初の入金取引を受け取りました。それ以降、約300件の取引が記録されていますが、そのうちいくつかは送金取引です。現時点では、送金先は不明です。

こうしたビットコイン詐欺は典型的な手口ですが、通常は有名人のアカウントをハッキングするのではなく、なりすましで詐欺を働くケースがほとんどです。数年前にこの件について記事を書きました。例えば、詐欺師がイーロン・マスクの偽アカウントを作成し、少額のビットコインをそのデジタルウォレットに送金した人に多額のビットコインを支払うと約束します。これが詐欺の全てです。

少なくとも、ハッカーたちがTwitterで最も人気のあるアカウント数十個を乗っ取る方法を見つけるまではそうだった。

「こうした詐欺は、少しのお金を払えば大金が手に入るというギャンブル的な心理から成り立っています」と、メールセキュリティ企業アガリのシニア脅威研究者、ロニー・トカゾウスキー氏は語る。「リスクとリターンのバランスという考え方です。多くの人が苦しんでいる今、特に危険な状況です。」

Twitterはここ数年、注目を集めるアカウント乗っ取り事件を数多く経験してきました。2017年には、従業員がドナルド・トランプ氏のアカウントを11分間無力化しました。さらに最近では、「Chuckling Squad」と呼ばれるSIMスワッピング集団がTwitter CEOジャック・ドーシー氏のアカウントのキーを入手したことで、一連のハッキング事件がピークに達しました。

今回の混乱はSIMカードの不正利用とは関係がなさそうです。問題となっているアカウントのほとんどは、間違いなく複数段階のセキュリティ対策が施されています。Coindeskは水曜日、二要素認証を有効にしていたにもかかわらず、侵害を受けたと明言しました。

攻撃の背後に誰がいたかは不明だが、脅威インテリジェンス企業RiskIQによると、既に確立されたグループによるものと思われる。同社の研究者は、最初に拡散されたサイトとの構造的類似性に基づき、ハッカーに関連する400のドメインを特定したと述べている。関与が疑われるドメインには、ビル・ゲイツ、バイナンス、イーロン・マスク、テスラ、スペースX、ウォルマートとの関連性を示唆するURLが含まれている。「当社の過去のデータを見ると、このインフラはかなり前から使用されていたことがわかります」とRiskIQの脅威研究者、ヨナサン・クリンスマ氏は述べている。「このグループは以前からブランドを模倣し、その暗号通貨スキームを利用してきましたが、認証済みのTwitterアカウントへの侵入は彼らにとって新たな攻撃ベクトルだったと言えます。」

ハッキングはTwitterのAPIにアクセスできるサードパーティ製のアプリやサービスに関連しているのではないかという憶測も飛び交っています。しかし、複数の詐欺ツイートは「Twitterウェブアプリ」、つまりブラウザ版Twitterから送信されたようです。情報源は偽造できるかもしれませんが、今回の規模では可能性は低いでしょう。これらの情報から、ハッカーがこれらのアカウントに完全にアクセスできる可能性が示唆されます。その場合、ハッカーはすべてのプライベートダイレクトメッセージも読むことができることになります。これは、場合によっては仮想通貨詐欺よりもさらに深刻なリスク要因となる可能性があります。

「本当に心配なのは、誰かがそれを非常に公然とした見せしめ、非常に公然とした詐欺行為に利用したため、ある意味幸運だったということです」と、Fセキュアのハードウェアセキュリティ責任者、アンドレア・バリサーニ氏は語る。「しかし、もし同じ力を使って、株式市場に影響を与えるような非常に微妙なツイートをしたり、政治的な発言をしたり、もっと恐ろしいことをしたらどうなるでしょうか？」

Twitterの公式サポートアカウントは水曜日に、「Twitterアカウントに影響を与えるセキュリティインシデントが発生していることを認識しています」とツイートした。「現在調査を進めており、解決に向けて対策を講じています。近日中に皆様に最新情報をお知らせします。」東部夏時間午後6時18分には、「このインシデントを調査・対応している間、ツイートやパスワードのリセットができなくなる可能性があります」とツイートした。この制限は認証済みアカウントに影響しているようで、その多くはTwitterが制限を課してから数時間以内に復旧した。東部夏時間午後9時30分頃、TwitterのCEO、ジャック・ドーシー氏は「このような事態が発生したことを大変残念に思っています」とツイートし、後日詳細な説明を行うと約束した。

午後10時38分（東部標準時）に、Twitterの公式サポートアカウントは、これまでの調査結果についてより詳細な説明を行いました。スレッドには、「内部システムやツールへのアクセス権を持つ一部の従業員を標的とした、組織的なソーシャルエンジニアリング攻撃と思われるものを検出しました」と記載されています。「このアクセスを利用して、多くの注目度の高いアカウント（認証済みアカウントを含む）を乗っ取り、なりすましツイートをしていたことが分かっています。他にどのような悪意のある活動を行ったか、またはどのような情報にアクセスしたかについて調査しており、詳細が分かり次第、ここでお知らせします。」

当該情報に、影響を受けたアカウントとの間で送受信されたダイレクトメッセージが含まれる可能性があるかどうかは不明です。Twitter社はまた、認証済みのアカウントのほとんどは既にサービスを復旧しているものの、侵害されたアカウントはロックされたままであり、「安全に復元できると確信できた場合にのみ、元のアカウント所有者に復元する」と述べました。さらに、Twitter社は社内ツールへのアクセスを制限する措置を講じると述べました。

この説明は、ハッカーが個々のアカウントを攻撃するのではなく、Twitterの内部ツールにアクセスしたことを示唆するソーシャルメディアやマザーボードのレポートと一致している。

ビル・ゲイツ氏の個人事務所の広報担当者は声明で、「このツイートはビル・ゲイツ氏によるものではないことを確認できます。これはTwitter社が直面しているより大きな問題の一部であると思われます。Twitter社はこの問題を認識しており、アカウントの復旧に取り組んでいます」と述べました。

それが実現するまでは、Twitterユーザー、特にフォロワー数の多いユーザーは、安心していられないでしょう。通常であれば、WIREDは2段階認証の使用を開始するよう推奨する時期です（そして、そうすべきです！）。しかし、現在わかっていることを踏まえると、そもそも2段階認証ではユーザーを守ることができなかったはずです。

このストーリーは、RiskIQ、ジャック・ドーシー、そしてTwitterサポートのツイートによるインフラの詳細に基づいて更新されました。詳細が判明次第、引き続き更新していきます。

追加レポートはリリー・ヘイ・ニューマンが担当しました。

WIREDのその他の素晴らしい記事