このほど発生したツイッターアカウントの大規模乗っ取り事件で、内部システムとツールへのアクセス権を持つ一部の従業員をアカウントが乗っ取られたことが問題の発端となった。ロイター通信が24日に報道したところによると、こうした権限を持つ従業員は1000人に上ることが指摘され、ツイッター内部の脆弱な管理体制が明らかになった。

ロイター通信によると、ツイッター社でセキュリティ事情に精通している元従業員による情報提供があったという。この元従業員によると、正社員だけでなく、請負業社もアクセスできる可能性があると指摘。2020年初頭の段階では1000人がアクセス権限を持っており、現在もおそらく同じ状況にあるという。

AT&Tの元最高セキュリティ責任者のエドワード・アモロソ氏はロイターに対し、こうした強力な権限は多くの人が利用できるものではないはずと懸念を示した。「アクセス権を持つ人が多すぎるように感じる」と指摘し、機密情報を調整するために従業員の責任を分担し、複数のチェック体制を整えるべきと話した。

「サイバーセキュリティを正しく行うためには、簡単な作業をおろそかにしてはならない」

ツイッターの大規模乗っ取り事件

ツイッターの大規模なアカウント乗っ取り事件ではバラク・オバマ前大統領やビル・ゲイツ氏、イーロン。マスク氏など著名人のほか、バイナンスなど多数の仮想通貨取引所が標的となった。ハッカーは著名アカウントを乗っ取り、ユーザーにビットコインの送金を促す偽のツイートを流し、約12BTCを盗んだとされる。

全体の被害としては合計で130のアカウントが標的となり、45のアカウントのパスワードがリセットされ、ハッキングされた。

この乗っ取りではコンピューターを使わずにアカウントを攻撃する「ソーシャルエンジニアリング」という手法が使われたことが明らかになっている。ニューヨークタイムズの報道によると、犯行は若者グループによると犯行で、オンラインメディアプラットフォームのDiscordを使って攻撃を計画した。Discordでユーザーネーム「yoo bro」と「Kirk」「lol」、「ever so  anxious」という4人が犯行に及んだとしている。

ツイッター社は今後、「ソーシャルエンジニアリング」攻撃を含むセキュリティ対策を行っていくことを表明。新たなセキュリティ責任者を募集している。

米国では11月に大統領選挙を控えており、セキュリティの専門家からはツイッターのセキュリティ対応が選挙までに終わらないのではないかとの懸念の声も上がっている。ネットワークセキュリティ会社のTenableの創業者であるロン・グラ氏は以下のように述べている。

「大統領候補者や報道機関のアカウント乗っ取りといった国全体を利用するような脅威に直面したとき、ツイッターはこれらを防ぐのに十分なことをしているのだろうか?」

翻訳・編集 コインテレグラフジャパン