Xのセーフティーチームは、米証券取引委員会(SEC)がそのXアカウントで二要素認証(2FA)を有効にしていなかったため、ハッカーがそのアカウントにアクセスすることができたと明らかにした。
Xのセーフティーチームは1月10日の投稿で、SECのハッキングは、攻撃者がアカウントに関連付けられた電話番号をコントロールし、それを使用してSECの公式Xページにアクセスした結果として発生したと記載した。これは一般的にSIMスワップクとして知られる攻撃だ。
We can confirm that the account @SECGov was compromised and we have completed a preliminary investigation. Based on our investigation, the compromise was not due to any breach of X’s systems, but rather due to an unidentified individual obtaining control over a phone number…
— Safety (@Safety) January 10, 2024
「私たちの調査によると、攻撃はXのシステムへの侵害によるものではなく、正体不明の個人が第三者を介して@SECGovアカウントに関連付けられた電話番号をコントロールを取得したことによるものだった」とXのセーフティーチームは述べた。
「アカウントが侵害された時点で二要素認証が有効になっていなかったことも確認できた」と書いている。
SIMスワップは、攻撃者が被害者の電話番号を乗っ取り、ソーシャルメディア、銀行、仮想通貨アカウントへのアクセスできるようにするものだ。
この場合、ハッカーは第三者の通信事業者に、SECのアカウントに紐付けられた電話番号の管理を引き渡すよう説得した可能性がある。ハッカーがアカウントにサインインするために使用された正しいメールアドレスも知っていた場合、電話番号を使用してSECの公式アカウントのパスワードをリセットし、アクセスを得ることができた。
米上院議員のJ.D. ヴァンス氏とトム・ティリス氏は、ゲンスラー氏宛てに書簡を送り、SECの運用上のセキュリティ欠如を非難し、今後4日以内にこの事件についての説明を求めた。
「これらの展開は、委員会内部のサイバーセキュリティ手続きに関する深刻な懸念を提起し、委員会の任務である投資家を保護することに反する」と書かれている。
BREAKING: Senators @JDVance1 & @SenThomTillis Demand Explanation For The SEC's Errant Announcement Of The Approval Of Spot-Bitcoin ETFs
— Senator Vance Press Office (@SenVancePress) January 10, 2024
"It is unacceptable that the agency entrusted with regulating the epicenter of the world’s capital markets would make such a colossal error." pic.twitter.com/xG77jM9xAM
ヴァンス氏とティリス氏の書簡以外にも、ほかの米国の議員からもこの事件についての公式な調査を要求する声が出ている。米国上院議員のビル・ハガティ氏は、SECに対してこの問題について調査するよう要請した。
「SECが上場企業がこのような重大な間違いを犯した場合に説明責任を求めるように、議会は何が起こったのかについて回答を必要としている」と彼は述べた。 米国上院議員のシンシア・ルミス氏も、「詐欺的な発表」に関する説明を要求する声に加わった。
XのオーナーでありテスラCEOであるイーロン・マスク氏も、SECのハッキングはXの内部システムが侵害された結果だというCNBCでの主張に反論した。
翻訳・編集 コインテレグラフジャパンThat’s how the legacy media runs
— Elon Musk (@elonmusk) January 10, 2024