ニューヨーク州金融サービス局(NYDFS)は、7月に発生して耳目を集めた、ツイッターへのハッキングの影響を分析した長文の報告書を発表した。このハッキングでは11万8000ドル相当のビットコイン(BTC)が盗まれた。

この事件は直接的な物理的影響をもたらしただけでなく、月間アクティブユーザー数が3億3000万人を超え、時価総額は370億ドルとなっているソーシャルメディア上場企業が抱えるサイバーセキュリティ上の深刻な弱点をさらけだしたと、NYDFSは述べている。ツイッターが金融市場と政治分野の両方にますます大きな影響を及ぼしていることを踏まえれば、この発見がもたらす結果は深刻だ。

10月14日に発表されたNYDFSの報告書は2つの主要セクションの中で、ツイッターのハッキングがNYDFSの仮想通貨ライセンス取得企業に与えた影響と、こうした企業が顧客を詐欺から守るためにどのように対応したかを述べている。NYDFSはまた、同様のサイバー攻撃が今後成功するのを防ぐためにどのような対策を取るべきかについて仮想通貨関連企業の提案を調査し、まとめた。

NYDFSによると、攻撃者はハッキングの第3局面において、NYDFSが規制の対象としている事業体を含む仮想通貨関連企業のツイッターのアカウントを標的にした。これら事業体は「直ちに反応して影響を受けたアドレスをブロックし、ニューヨークの仮想通貨市場及びその中での活動を認証された事業者が成熟していることを証明した。彼らの行動は、ニューヨークが高い基準を維持し続けており、最も責任感ある関係者のみを惹きつけていることを示している」。

ウォレットサービスを提供中で、ツイッターのアカウントがハッキングされたコインベース、ジェミニ、スクエアは、いずれもハッカーがツイッターに投稿したビットコインのアドレスを直ちにブロックした。NYDFSの調査によると、各企業はアカウントがハッキングされてから40分以内に関連アドレスをブロックしたという。

調査の対象となった仮想通貨関連企業のうち、合計15社が関連アドレスへの送金をブロックしたが、7社はブロックしなかった。報告書によると、いくつかの企業は事業モデルが異なっており、カストディ及び送金サービスを直接取り扱っていないことが、行動を起こさなかった理由となっている。

行動を起こした企業のうち、コインベースはおよそ129万4000ドルに相当する5670件の送金をブロックし、スクエアはおよそ5万1000ドルに相当する358件の送金を、ジェミニはおよそ1万8000ドルに相当する2件の送金を、ビットスタンプは250ドルに相当する1件の送金をブロックした。

NYDFSの調査報告のもう一方の主眼は、ハッキングを受けて仮想通貨関連企業が自社のSNSアカウントを保護するためにどのような対策を採ったかを分析し、今後セキュリティを強固にするための主要提案をまとめることだった。

こうした提案には、強力でユニークなパスワードを使用すること、SNSアカウントに認証されていない投稿がないかどうか監視すること、SMSによる多要素認証はハッキングされやすいためにSMS以外の多要素認証を使用すること、そしてSNSアカウントへの従業員のアクセスを制限することが含まれていた。

今回のハッキングを全体の文脈の中で見ると、2019年には全世界で数百万人が仮想通貨詐欺で43億ドル以上を失い、2018年の6億5000万ドルから増加したとNYDFSは指摘している。詐欺師はパンデミックに乗じて2020年上半期だけですでに3億8000万ドルを盗み出した。「ツイッター上でイーロン・マスクになりすます」というツイッターのハッキングを使ったある詐欺の手口によって、すでにおよそ20万ドル相当のビットコインの被害が出ている。このような事件を受けてマスク氏は、以下のようにフォロワーに警告した。