現地時間の7月15日に発生したTwitterのハッキング事件で、オバマ前米大統領、イーロン・マスク氏、Appleなど、著名人、大企業の130のアカウントが不正にアクセスされ、仮想通貨の送金を促す詐欺ツイートが投稿されました。Twitterは以前、ソーシャル・エンジニアリングが使用されたと説明していましたが、さらなる調査の結果「電話を介したスピアフィッシング」によるものだったことが明らかになりました。
高度に組織されていたフィッシング攻撃
Twitterによれば、攻撃者は「激しく、そして高度に組織された」スピアフィッシングを、電話を介してTwitter従業員にしかけたとのことです。
「特定の従業員を誤解させ、人間の弱みを巧みにつけ込み内部システムへのアクセスを得た」と、Twitterは30日にツイートしています。
The attack on July 15, 2020, targeted a small number of employees through a phone spear phishing attack. This attack relied on a significant and concerted attempt to mislead certain employees and exploit human vulnerabilities to gain access to our internal systems.
— Twitter Support (@TwitterSupport) July 31, 2020
攻撃者は、まずTwitter従業員のクレデンシャル情報を獲得し、その後アカウントサポートツールにアクセス権限のある特定のスタッフをターゲットにしていったとされています。
被害の明確な数字も明らかに
フォロワー数の多いTwitterアカウントから仮想通貨の送金を促す詐欺ツイートが投稿されましたが、総被害額はおおよそ10万ドル(約1,043万円)にのぼるとされています。
Twitterは30日のブログ更新で、「130のアカウントが不正にログインされ、45のアカウントから詐欺ツイートが送信され、36のアカウントのDMの受信ボックスにアクセスされ、7つのアカウントのTwitterデータがダウンロードされた」と被害の詳細な数字も公開しています。
Source:Twitter via AppleInsider
(lexi)
- Original:https://iphone-mania.jp/news-304221/
- Source:iPhone Mania
- Author:iPhone Mania