2019年8月31日5時頃(日本時間)、Twitter CEOのJack Dorsey氏のTwitterアカウント(@jack)から不審なツイートが複数投稿されました。この投稿は第三者により行われたもので、Twitterの報告によればモバイルキャリアの侵害が原因とされます。またその手口にSIMスワッピングが用いられたと報じられています。ここでは関連する情報をまとめます。
Twitter CEOアカウントから爆弾が仕掛けられたとツイート
. @jack has been hacked pic.twitter.com/E2p9IopnSx
— Yashar Ali 🐘 (@yashar) 2019年8月30日
- CEOのアカウントから不審な投稿は10分間続いた。
- 不審な投稿は20件程度行われてたとみられる。
- レイシストやナチスを称賛する投稿等もリツイートされていた。
- Twitter本社に爆弾が仕掛けたと投稿されていた。
- Discordの招待リンクが投稿されていたが、運営により無効化の措置が取られた。侵害されたアカウントのリンクなどがチャットルームに張り付けられていた模様。
- 最近、インフルエンサーやYoutuber等複数の有名Twitterアカウントが侵害*1 *2されており、投稿されていたハッシュタグが同じ
#ChucklingSquad
だった。 - DMで不正投稿元とやり取りをしたとするYoutuberはAT&Tに起因した問題であったと報告をしている。
Yeah @ATT is looking at a major lawsuit for allowing hackers to call in and SIM card switch over big celebrity account! @KingBach @AmandaCerny @Etika @shanedawson
— KEEM 🍿 (@KEEMSTAR) 2019年8月24日
& now @jamescharles all hacked due to ATT human error ! New #DramaAlert today explaining!
手口はSIMスワッピングと報道
- 一部メディアは今回用いられた手口がSIMスワッピングによるものであったと報じている。
- TwitterもSIMスワッピングが原因と直接の表現はしていないが、権限のない人物からテキストメッセージが送信されていたと報告している。
- SIMスワッピングにより操作対象のアカウントに紐づいた電話番号を入手し、SMSを送ることで不審な投稿が行われていたとみられる。
Twitterのショートメール経由の投稿機能
- Twitterにはテキストメッセージサービスから投稿やリツイートなどを行う機能がある。
- アカウントに紐づいた電話番号からの送信であること、モバイルキャリアが対応一覧に存在することが条件。(日本国内のキャリアは含まれていない)
- 電話番号が複数のアカウントに登録されている場合は、最後に登録されたアカウントが操作対象となる。
- この操作はアカウントのパスワードなどは必要なく利用できる。
Cloudhopper侵害は誤認
- Twitter APIはSMSコマンドを通じて投稿された場合、クライアント名に
Cloudhopper
と表示される。 - Cloudhopperは2010年4月にTwitter社に買収された。
- 不審な投稿で表示されていたクライアント名が
Cloudhopper
であったことからこれに関連する組織やシステムが侵害されているとの噂があった。 - Twitterはその後、自社システムへの侵害は兆候がないと否定し、モバイルキャリアが原因と報告している。
The phone number associated with the account was compromised due to a security oversight by the mobile provider. This allowed an unauthorized person to compose and send tweets via text message from the phone number. That issue is now resolved.
— Twitter Comms (@TwitterComms) 2019年8月31日
SMS経由投稿機能の一時停止
We’re temporarily turning off the ability to Tweet via SMS, or text message, to protect people’s accounts.
— Twitter Support (@TwitterSupport) September 4, 2019
- この件を受けて、TwitterはSMS経由の投稿機能を停止した。
- この措置は一時的なものであり、SMS依存の市場ではすぐ再開させる予定。
- 理由としてモバイルキャリアに脆弱性が存在し、二要素認証に関連付けされた電話番号に影響が及ぶため。
- 二要素認証の関連付け電話番号の問題は改善対応中。
- 問題となった機能については長期的な戦略を検討中。
更新履歴
- 2019年9月1日 AM 新規投稿
- 2019年9月5日 PM SMS経由の投稿機能の一時停止を追記