Twitterの大規模乗っ取りが話題になっていますが、その被害について公式発表があったとのこと。
攻撃対象となったのは認証済みアカウントを含む130アカウントだったようです。
しかも、130アカウントについては電子メールや電話番号を入手可能で、45アカウントについては例のビットコイン詐欺のツイートをされ、最大8アカウントはDMデータを含むTwitterデータをダウンロードされた形跡があった模様。DMのデータが攻撃者の手に渡ったのが恐ろしいですね。
原因は、ソーシャルエンジニアリングにより、一部のサポートメンバーのみが使えるツールによりアカウントにアクセスされたことにあるようです。
ソーシャルエンジニアリングは、人により行われるセキュリティ攻撃になります。言葉巧みに相手を操作して、自分の望む結果を手に入れる攻撃になります。よくあるのが、電話で会社に電話をかけてきて、「自分は役員の○○だ。緊急事態だから、社員の△△の連絡先を教えろ」といったものです。
今回は、そのソーシャルエンジニアリングによって、Twitter社は被害を受けたようですね。
しっかり対策はとったようですが、プラットフォーマーがソーシャルエンジニアリングにやられてしまったのはお粗末ですし、一部とは言え、サポートメンバーにそれだけ権限の強いツールが与えられていたことも気になるところです。
Twitterぐらい大きなサービスとなると、社会的影響も甚大になるので、今後このようなことがないことを期待したいところです。
- 公式発表