Hacking

Twitterハッキング事件から学ぶセキュリティ対策

 

2020年7月31日にアメリカの捜査当局は3人のハッカーを起訴しました。

著名人のアカウントを乗っ取り仮想通貨詐欺を行ったこの事件は世界中でニュースになりました。

今回はこの事例から学べるセキュリティ対策とハッキングの事例を解説します。

 

 

事件の概要

 

Twitterの内部システムへのアクセス権を取得した容疑者はアカウント権限販売および著名人のアカウント乗っ取りを果たしました。

その後偽のツイートで仮想通貨の詐欺を行いました。

 

事件の経緯

 

簡単にことの経緯をまとめます。

 

きっかけ

 

CNETJapanによるとまず最初に容疑者はTwitterのSlackチャンネルに投稿されていた認証情報を手に入れたようです。

どのように手に入れたのかは不明ですがSlackは外部連携が充実している一方でそれだけセキュリティホールができやすいので何らかの手口でアクセスが可能になったと思われます。

 

たとえばwebhookなどは便利な機能ですがURLさえわかってしまえばチャンネルに任意のURLを送ることも可能です。

 

仮にチャンネル内のメンバーがハッカーが送信したリンクを踏んでしまった場合認証情報が抜き取られることも十分に考えられます。

 

少し話がずれてしまいましたが、Slackでの認証情報取得が第一のきっかけだったようです。

 

 

スピアフィッシングでバックエンドへのアクセス権を取得

 

SlackへのアクセスによりTwitter社内のツールのアクセス権を得た容疑者でしたがバックエンドへのアクセス権は2FAにより取得できませんでした。

 

そこでおこなわれたのがスピアフィッシング攻撃です。

スピアフィッシングはソーシャルエンジニアリングの一種であり同僚や上司などを装い特定のターゲットが騙されやすい状態からパスワードを盗み出したり認証を突破する攻撃です。

 

このスピアフィッシング攻撃により容疑者は2FAを突破してアクセス権を取得しました。

 

Twitterアカウント操作権販売および著名人のアカウント乗っ取り

 

容疑者はTwitterアカウントの操作権を販売し、さらには著名人のアカウントをハッキングして詐欺ツイートを行いました。

 

これにより事件は明るみになります。

 

 

追跡から特定され逮捕

 

容疑者は

・複数サイトで同様のメールアドレスを使用

・本人確認で自分の身分証を使っていた

・Discord、Coinbase、OGUsersという3つのサイトにアクセスするとき家庭用ネットワークを使っていたた

ことにより逮捕されることになります。

 

正直ハッカーとしてはあまりにずさんな行動と言えるでしょう。

当局はこの事件を追跡能力の高さのアピールに使えると考えているかもしれませんが、ハッカーからすれば「逮捕されて当たり前」レベルです。

 

 

一連の流れから学ぶセキュリティ対策

 

上記の事件の経緯を踏まえてここからはTwitter社目線でどのようなセキュリティ対策を練っていれば未然に事件を防げたか、ハッカー目線でどうすればより捜査を困難にすることができたかを解説します。

 

Twitter社は外部ツール連携に関するセキュリティ意識とセキュリティポリシーの強化を図るべき

 

まず第一に今回の事件のきっかけになったのはSlackでの内部システム情報の流出でした。

Twitter社は外部連携に関してより慎重になる必要があるといえるでしょう。

具体的には内部のIPアドレスでしかアクセスできないように制限するなどの対策がとれたはずです。

 

2つ目にスピアフィッシングによって2FAがやぶられたことにより、セキュリティポリシーの強化が必要といえるでしょう。

 

もちろん大手の会社ですからセキュリティポリシーは存在していたと思います。

しかし従業員への教育が足りていなかったため今回の事件が起きてしまったはずです。

 

従業員への教育の徹底とセキュリティポリシーの厳密化は必要といえます。

なかなか防ぐのが難しいのが内部の人間を装ったソーシャルエンジニアリングです。

最大の脆弱性は「人間」であることをこの記事を目にしているシステム管理者の方には今一度意識していただきたいです。

 

ハッカーはアカウントの紐付け、同一ネットワークの使用は簡単に身元が割れることを証明した

 

さきほど事件の経緯でも解説しましたがハッカーは以下の原因によって身元が特定されました。

 

・複数サイトで同様のメールアドレスを使用

・本人確認で自分の身分証を使っていた

・Discord、Coinbase、OGUsersという3つのサイトにアクセスするとき家庭用ネットワークを使っていた

 

このことから言えるのは上記のような条件が揃えばわりかし簡単に身元は特定できるということです。

 

たとえば

・各サイトのアカウントは紐付けない

・偽の身分証を使う

・同一のネットワークを使用しない。

・Torなどの匿名ネットワークを使う

・アクセスログは消す

・IPは偽装する

 

などのことをしていれば当局はもう少し手間取ったはずです。

ただしそもそもの行為が犯罪なのでみなさんは決して行わないようにしてください。

 

大きな事件でも掘り下げれば身近なもの【明日は我が身】

 

今回は世間を賑わせたTwitter乗っ取り事件について解説しました。

 

Twitterという大きな企業における事件でしたがその内容や手口は王道のものでした。

つまり私達の身近に存在し、明日には私達が管理しているシステムにおいても起こりうる問題だということです。

 

今一度この機会にセキュリティ対策を見直してみましょう。

 

-Hacking

© 2021 ストロテクトNote