サイトアイコン IT NEWS

Twitterは不正アクセスによってハッカーがユーザーのDMを盗み読みした可能性について答えず

Twitter(ツイッター)は、正規ユーザーが投稿できないようアカウントを一時停止するに至った7月15日のセキュリティー侵害事件の後、ユーザーアカウントのパスワードをハッカーが取得した「証拠はない」と語った。

アカウントの大量乗っ取りが始まってから丸1日になる7月16日に公開された一連のツイートで、Twitterは「攻撃者がパスワードにアクセスした証拠は発見されていません。現在のところ、みなさまがパスワードをリセットする必要はありません」と述べた。

「十分な注意を払いつつみなさまの安全を守るための7月15日の危機対応のひとつとして、Twitterは過去30日間にアカウントのパスワード変更を試みたアカウントの一時凍結に踏み切りました」とTwitterは説明した。「Twitterが実施した追加的な安全対策により、パスワードを変更できなかった恐れがあります。現在も凍結されているアカウント以外は、パスワードのリセットが可能になっています」。

Twitterは今回の不正アクセスのあと「みなさまのアカウントへのアクセスが回復できるようお手伝いしています」と話している。報道機関を含む多くの著名人や団体のアカウントが、7月16日の朝の時点でいまだアクセス不能になっている。凍結されたままでツイートができないアカウントも残されている。

暗号通貨サイトのアカウントが乗っ取られ、ありふれた暗号通貨詐欺の宣伝ツイートが投稿されるや、その事件のニュースは、まさに当該ソーシャルネットワーク上でリアルタイムに広がった。@apple(アップル)、 @binance(バイナンス)のほか、@billgates(ビル・ゲイツ氏)、@jeffbezos(ジェフ・ベゾズ氏)、@elonmusk(イーロン・マスク氏)といった有名企業や著名人のアカウントまでもが大量乗っ取りの犠牲になった。それらの合計フォロワー数は9000万人にのぼる。

暗号通貨ウォレットの公的記録では、わずか数時間で総額10万ドル(約1070万円)を超える数百回の取引があったことが示されている。

Twitterはその後、「弊社の従業員に狙いを定め、首尾良く内部システムとツールへのアクセスを成功させた人たちによる組織化されたソーシャル・エンジニアリング攻撃」と断定
Twitter Support投稿)した。

このTwitter事件を直接見聞きしているあるハッカーがTechCrunchに話したところによれば、Kirk(カーク)というハンドル名の別のハッカーがTwitter内部の「管理者」ツールへのアクセスに成功し、著名人や団体のTwitterアカウントを乗っ取って暗号通貨詐欺ツイートを拡散したとのことだ。

管理者ツールにほかのハッカーがアクセスしたかどうかはわからない。現在はFBIが事件の調査を行っていると同社の広報担当者は話していた。しかし、そのハッカーたちがアクセスした正確な回数や、彼らがユーザーのプライベートなメッセージを盗み読みしたか否かといった疑問はいまだ残されている。

米民主党上院議員のRon Wyden(ロン・ワイデン)氏は、2018年に行われた私的会合の声明の中に、Twitterの最高責任者であるJack Dorsey(ジャック・ドーシー)氏は、同社は「エンドツーエンドで暗号化されたダイレクトメッセージ(DM)に取り組んでいる」と話していたと書いている。Twitter社自身ですらユーザーのメッセージを読めなくする暗号化方式だ。

「あの会合からほぼ2年が経ちますが、TwitterのDMはいまだ暗号化されていません。従業員が社内システムの内部アクセス権を悪用した場合、さらにハッカーが不正アクセスした場合には、守りようがありません」とワイデン氏。「昨日の事件の背後にいるハッカーがTwitterのDMにアクセスしたかどうかは、いまだに明らかにされていませんが、これはあまりにも長い間放置されてきた脆弱性であり、ほかの競合プラットフォームではすでに存在していない問題です」。

「もしハッカーがユーザーのDMにアクセスしていたら、この浸入事件は、今後数年間にわたり、とてつもない衝撃をもたらすことになります」とワイデン上院議員は語る。

私はTwitterに対し、ハッカーがユーザーのDMにアクセスしたなんらかの証拠はないのか、従業員も対象とする不正アクセス防止対策として何を行っているか、エンドツーエンドの暗号化をDMに実装する計画はあるのかなど、DMに関する質問を向けてみた。

連絡をした時点では、Twitterの広報担当者はコメントを控えている。

関連記事:Twitterの暗号通貨詐欺の元凶は内部ツールに不正アクセスした一人のハッカー

画像クレジット:Getty Images

[原文へ]

(翻訳:金井哲夫)

モバイルバージョンを終了