■サイバー詐欺の経緯
ビットコイン詐欺を行った組織は、多くの著名人、大富豪者を始め一般人の Twitter アカウントを水曜日の昼辺りから約3時間以上乗っ取り、下記のコメントを投稿。現段階では既に少なくとも数百人が仮想通貨を譲渡してしまい、詐欺被害にあったという。▼Twitter アカウントを乗っ取られた Joe Biden 氏の実際のツイートスクリーンショット▼アカウントを乗っ取られた著名人一部
- Bill Gates 氏 - Microsoft Corporation 共同 創設者
- Joe Biden 氏 - 第47代 元副大統領(2009 - 2017)
- Barack Obama 氏 - 第44代 元アメリカ大統領(2009 - 2017)
- Kanye West 氏 - アメリカ人ラッパー、ソングライター、プロデューサー、コンポーザー、ファッションデザイナー
- Elon Musk 氏 - SpaceX, Tesla, Inc., X.com (now PayPal) 社長
▼Twitter アカウントを乗っ取られた Barack Obama 氏の実際のツイートスクリーンショット
上記と似たようなツイートが、著名人の数々、そして大企業アカウントから次々と投稿された。そして同日夜 Twitter は下記の ツイートを投稿。僕は社会に貢献する。
ビットコインを下記のアドレスに送ってくれたらその金額の倍にして返金する!もしも $1,000 (約10万円)を送ってくれたら、僕は $2,000(約20万円)にして返す事を約束する。これが可能なのは今から30分以内だけだ。
楽しんで!
We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.
— Twitter Support (@TwitterSupport) July 16, 2020
We know they used this access to take control of many highly-visible (including verified) accounts and Tweet on their behalf. We’re looking into what other malicious activity they may have conducted or information they may have accessed and will share more here as we have it.
— Twitter Support (@TwitterSupport) July 16, 2020
そして Twitter は、認証済みバッジ付アカウントを約3時間程度ツイートできないような設定にしたようだ。社内システムやツールにアクセスできる従業員の一部を標的にした組織的なソーシャルエンジニアリング攻撃と思われるものを発見した。
私たちは、彼らがこのアクセスを使用し、認証済みバッジ付の著名人のアカウントを乗っ取り、彼らのふりをしてツイートしたことを知っている。我々は、彼らが行った、その他の悪意ある行為や彼らがアクセスした可能性のある情報を現在調査している。そういった情報が入り次第、ここで報告する。
なお、現在彼らのアカウントが正常に戻ったのかどうかの発表はない。(7/16現在)
■疑問点
上記のような Twitter 公式アカウントからの詐欺ツイートは、同日午後3時頃から投稿され始めたとのことだ。そして、ビットコイン詐欺ツイート発覚後、2時間以上経過した後も Twitter アカウントで同様の詐欺ツイートが投稿されていたとのことである。Twitter が事態を認識してからなぜ迅速に対応できなかったのかは現時点(7/16)では不明である。そして午後6時、Twitter はビットコイン詐欺ツイートの広がりを抑えるため認証済みバッジ付アカウントのツイート機能を停止するに至った。
サイバーセキュリティー企業 SocialProof Security の社長 Rachel Tobac 氏は下記のように述べている。
今回のサイバー攻撃に関するアップデートは Twitter Support アカウントにて発信されている。続報が気になる方は @TwitterSupport をフォローしよう。このサイバー攻撃は Twitter が今までに経験した中で、最大規模のものである可能性が高いだろう。Twitter が政治的混乱や誤報の広がりを抑えるために、なぜ一旦完全に Twitter 自体を誰もが使用できないような措置を取らなかったのか、不思議でならない。