あるSEのつぶやき・改

ITやシステム開発などの技術に関する話題を、SEとしての経験から取り上げたり解説したりしています。

Twitter大規模乗っ取り対象は130人、DM含むデータダウンロードは8人との公式発表があったとのこと

f:id:fnyablog:20200718192228p:plain:w480

Twitterの大規模乗っ取りが話題になっていますが、その被害について公式発表があったとのこと。

www.itmedia.co.jp

攻撃対象となったのは認証済みアカウントを含む130アカウントだったようです。

しかも、130アカウントについては電子メールや電話番号を入手可能で、45アカウントについては例のビットコイン詐欺のツイートをされ、最大8アカウントはDMデータを含むTwitterデータをダウンロードされた形跡があった模様。DMのデータが攻撃者の手に渡ったのが恐ろしいですね。

原因は、ソーシャルエンジニアリングにより、一部のサポートメンバーのみが使えるツールによりアカウントにアクセスされたことにあるようです。

ソーシャルエンジニアリングは、人により行われるセキュリティ攻撃になります。言葉巧みに相手を操作して、自分の望む結果を手に入れる攻撃になります。よくあるのが、電話で会社に電話をかけてきて、「自分は役員の○○だ。緊急事態だから、社員の△△の連絡先を教えろ」といったものです。

今回は、そのソーシャルエンジニアリングによって、Twitter社は被害を受けたようですね。

しっかり対策はとったようですが、プラットフォーマーがソーシャルエンジニアリングにやられてしまったのはお粗末ですし、一部とは言え、サポートメンバーにそれだけ権限の強いツールが与えられていたことも気になるところです。

Twitterぐらい大きなサービスとなると、社会的影響も甚大になるので、今後このようなことがないことを期待したいところです。

  • 公式発表

blog.twitter.com