piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

Twitter社内管理ツールの不正アクセスについてまとめてみた

2020年7月16日(日本時間)、Twitter上で複数の著名なアカウントや有名企業のアカウントからビットコイン詐欺の投稿が行われました。Twitterはその後の調査で、社内サポートチームが使用する管理ツールが不正利用されたことが原因と発表しました。ここでは関連する情報をまとめます。

何が起きたの?

  • 2020年7月16日未明から著名アカウントを中心に詐欺投稿が行われた。その後アカウント侵害の影響は大部分が回復した。
  • 一連の投稿にはTwitter社内のサポートチームが使用する管理ツールが悪用された。さらに複数のアカウントでDM閲覧やデータのダウンロードが行われた恐れがある。
  • 社内ツールはソーシャルエンジニアリングにより不正利用された。Slackがその舞台となったと報じられている。

1. アカウントのっとり詐欺投稿 4時間続く

7月16日に発生したビットコイン詐欺の投稿は大まかに2種類が確認されている。(この他にDMでも届いたといった報告もある。)途中から投稿内容を変更したのは詐欺に使用していたサイトがダウンしたためとみられる。

  • 大手暗号資産取り扱い事業者のアカウントをのっとった5000BTC還元の投稿(2020年7月16日 3時24分~5時9分)
  • 著名・有名企業アカウントをのっとったビットコイン倍返しの投稿(2020年7月16日 5時17分~7時5分)
詐欺投稿(1)5000BTC還元サイトへの誘導

暗号資産関連のアカウントから外部団体と提携しコミュニティへ5000BTCを還元するという投稿が行われた。
投稿された内容はcryptoforhealth.comへのリンクを掲載したツイート。

We have partnered with CryptoForHealth and are giving back 5000 BTC.

See for more : http://cryptoforhealth.com
f:id:piyokango:20200720125217p:plain
還元詐欺のサイト(アーカイブより)
  • cryptoforhealth.comは後7月16日までにサイトに接続が出来なくなった。
  • サイト上では送金先として倍返し投稿と同じbc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlhが掲載されていた。
  • ドメイン名の登録日は7月15日。登録者名はAnthony Elias、登録アドレスはmkeyworth5@gmail.comが使用されていたがそれ以上の情報は7月20日時点で確認されていない。
詐欺投稿(2)ビットコイン倍返し

投稿されたツイートはビットコインを要求し2倍などにして送り返すという内容。文面にはバリエーションが存在し、そのアカウントにマッチした内容が投稿されているように見受けられる。

  • オバマ元大統領のアカウントで投稿されていた内容
I am giving back to my community due to Covid-19!

All Bitcoin sent to my address below will be sent back doubled. If you send $1,000, I will send back $2,000!

bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh

Only doing this for the next 30 minutes! Enjoy.
3000万相当の送金阻止した取引所
  • 詐欺ツイートや詐欺サイトで示されていたウォレットアドレスbc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlhには7月20日時点で約1,200万円相当のBitcoinが送金されていた。
  • 一連の詐欺で関連が疑われるアドレスは複数存在するが、その内bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlhやURL(cryptoforhealth.com)は事案以降、投稿しようとするとエラーが発生する。

f:id:piyokango:20200720124612p:plain
ビットコインアドレスを含む内容はエラーとなり投稿できない

  • Coinbaseが取材に対し、詐欺に使用されたアドレスへの送金を事案発生から1分後に遮断したと答えている。Coinbaseから送金されたのは遮断までの1分の間に14ユーザーにより送金された3000ドルのみ。同取引所を通じ送金されようとしたビットコインは総額30.4BTC(約3000万円相当)だったという。*1

2.虚偽投稿だけでなくデータも盗まれた恐れ

Twitterの報告によれば、今回影響を受けたアカウント件数は以下の通り。

① 攻撃対象件数 130アカウント
② パスワードリセット件数 45アカウント
③ DM受信箱接続件数 最大36アカウント
③ TwitterデータツールDL件数 7アカウント
  • パスワードリセットによりアカウントへのログイン、ツイートができる状態となっていた。
  • 認証済みアカウントに対してはデータのダウンロードは行われていなかった。
  • ダウンロードが行われた可能性のあるアカウントに対しては個別に連絡が行われている。*2
  • DLが行われたアカウントは当初8と公表していたが、その後7月30日の発表で7件へ修正された。
のっとったアカウントのDM公開?
  • Twitterのその後の調査で最大36アカウントでDMの受信トレイに攻撃者が接続していたことが確認された。
  • 影響を受けたアカウントにはオランダの議員1名が含まれている。
  • テックジャーナリストのDaniël Verlaan氏は影響を受けた人物はオランダ自由党党首のGeert Wilders氏のアカウント(@geertwilderspvv)だったと指摘している。
  • のっとり後の状況がアカウント取得者とみられるハッカーにより投下されており、一連の投稿の中でDMを公開するかどうかを問うような投稿も行っている。

一部の個人情報が参照された可能性

影響を受けたアカウントに対し、Twitterは次の補足を行っている。

  • パスワードは平文で保存されていない、かつ社内ツールから参照することが出来ないため、攻撃者はアカウントに設定されていたパスワードを参照することはできなかった。(そのため、パスワードの変更は必要ないとTwitterも見解を出している
  • 社内サポートツールで電話番号、メールアドレスが表示されるため、攻撃者もこの情報を参照することが可能であった。
  • アカウントがのっとられた場合、攻撃者は追加の情報を参照できた可能性があり、現在フォレンジックが行われている。
f:id:piyokango:20200719235718p:plain
7/19時点でもTwitterデータ機能は利用できない

Twitterデータには次の情報が含まれている。*3

  • 写真、動画を含むダイレクトメッセージ
  • Twitterアプリがスマートフォンのアドレス帳よりインポートした連絡情報
  • サービス使用時の物理的な位置情報履歴
  • ミュートやブロック対象としたアカウント
  • 対象アカウントの関心領域、統計情報

3. 詐欺投稿はどうやって行ったのか

  1. 攻撃者は電話を用いたソーシャルエンジニアリングによりTwitterの特定(少数)の従業員を標的とした。
  2. 標的とした少数の従業員の認証情報を使用し、二要素認証等を回避し、社内システムにアクセスした。
  3. 攻撃者は内部システムへ侵入し、管理ツールへアクセス権限を持つ従業員を次の標的とした。
  4. 社内サポートチームが使用する管理ツールを用いてパスワードリセットを実行しアカウントを掌握。
  5. 奪取したアカウントを通じビットコイン詐欺の投稿を実施。
f:id:piyokango:20200802023509p:plain
アカウント奪取までの流れ(一部点線部推測含む)
Slackへの投稿を参照された可能性
  • 管理ツールに辿りついた方法はTwitterは7月20日時点で発表していない。
  • NYTが関係者へ行った取材によれば、Twitter社内のSlackチャネルへのアクセス方法が発見。
  • Slack上に投稿された情報を見てTwitter社内部への接続サービスや資格情報を取得したとみられている。
  • 一連の行為にシステムの脆弱性が原因ではと疑う報道もあるが、脆弱性に関連する情報は7月21日時点で発表されていない。
管理ツールのスクショ投稿で凍結
  • 管理ツールのスクリーンショットとされる画像がネット上に出回った。
  • 画像からはアカウントに登録されたメールアドレスやブラックリストの登録有無などを確認できる他、登録メールアドレスの追加なども行える様子が伺える。
  • Twitter上に画像投稿した一部のユーザーは凍結対象とされたという。*4

4. 取材に応じた「関係者」

今回の大規模なのっとり行為に関係している人物が4名いるとNYTが記事を公開した。この内、一部の関係者が取材に応じている。
www.nytimes.com
NYTが報じた4人の関係者は以下の通り。

ハンドルネーム 概要
Kirk これまであまり知られていなかったハッカー。7月7日にDiscordの登録が行われた。lol、ever so anxiousへTwitterアカウントの売買を持ち掛けた。
lol 米西海岸在住、20代。KirkとのDiscord上のチャットログをNYTに提供。過去に「tankska」というIDを使用していた。フォーラムからリークされたデータによれば当該IDで登録されていたメールアドレスは「jperry94526@gmail.com」で米カリフォルニア州ダンビルに関連付けられたIPアドレスから登録されていた。
ever so anxious 英南部在住、19歳。母親と暮らしている。詐欺投稿が行われている最中は就寝していた。取材に「人が欲しがるユーザー名を持っているのは少しクール」と語っている。KrebsOnSecurityによれば、chaewonがこの人物だったとされる。
PlugWalkJoe 本名Joseph O’Connor。英国出身21歳。大学通学のためスペイン在住。ever so anxiousからTwitterアカウント「@6」を取得した。詐欺行為が行われている最中は実家の近くでマッサージを受けていたという。BBCが報じた関与するTwitterアカウントというのは同氏と関連が疑われている@shinjiとみられる。
  • NYTがコンタクトをとれたのはEfani CEOのHaseeb Awan氏を通じて。同氏は以前所属していた仮想通貨企業がこのハッカーグループから標的となっていたこと、そして現在CEOとなっている企業Efaniが標的となりハッキングに失敗していた経緯があった。
  • 捜査担当者によれば、NYTが報じたハッカーグループの情報は調査情報と一致しているとコメントしている。
  • lolとever so anxiousはアカウントの購入、のっとりだけを行っていたことを証明するためにNYTに話をした。
  • lolはNYTに対し、チャットログの他、Kirkとの取引に用いた仮想通貨アカウントの所有情報を示した。
  • 最初の取引はTwitterアカウント「@y」で、1500ドルの支払い準備がある人との仲介をlolが行っていた。
  • アカウントハイジャック専門のフォーラムOGUsers.comに広告を出し、時間が過ぎるに取引希望が殺到。Kirkが値段のつり上げを行うようになった。
  • ever so anxiousはKirkが行ったとみられる行為にとても失望したと事後にlolに対しメッセージを送っている。
  • 7月30日に一連の不正アクセスに関係した人物が起訴、他1名が家宅捜索を受けた。起訴された人物はKirk、ever so anxiousの2名に別でDiscord上でやり取りのあったRolexの3人。

f:id:piyokango:20200802023223p:plain
ハッキング関係者の相関図

「@6」アカウントの取引
  • @shinji(現在suspended)というアカウントがTwitterの社内管理ツールの画像を投稿し、さらに「follow @6」とつぶやいていた。
  • @shinjiはプロフィールにInstagramのアカウントをリンクしており、この「dead」「j0e」というInstagramアカウントからPlugWalkJoeが関係しているとKrebsOnSecurityが指摘していた。(NYTの取材でPlugWalkJoeは今回、ハッカーグループから@6アカウントを取得しているとコメントしている。)
  • 元々の@6アカウントは故人Adrian Lamo氏が所有していたもの。現在はLucky225氏がAdrian氏の父親から許可を得て管理している。
  • Luccy225氏は当時の状況についてMediumにまとめている。同氏が受け取ったリセット通知などから社内の管理ツール単体ではアカウント掌握は行えず、登録メールアドレスの変更と二要素認証の無効化を通じ通常のパスワードリセットフローを経る必要があったのではないかと指摘している。

medium.com

参考情報

Twitterの情報公開

発生直後はTwitter Supportの公式アカウントを通じて対応状況の報告を行っていた。


Twitterが事後に即時とった対応は次のもの。

  • 投稿、パスワードリセットの一時的な機能制限
  • 過去30日間にパスワードの変更を試みたアカウントをロック
  • 影響を受けたアカウントのロック
  • 侵害形跡を確認できていないものも含めた認証済みアカウントの大幅な機能制限

発生から2日後に今回のインシデントに関する初報を公開している。(23日にアップデートを行っている)
blog.twitter.com

Twitter CEOのJack Dorsey氏は「Twitterにとって厳しい日となった」とコメント。対応に当たるメンバーへの労いも行った。

影響を受けなかったトランプ大統領アカウント
  • ホワイトハウス報道官はトランプ大統領のアカウント(@realdonaldtrump)は今回の件の影響を受けていないとコメントしている。
  • 影響外だった理由は不明だが、追加のセキュリティ保護によるものだったのではないかとVergeは推測している。
  • 大統領アカウントに行われた追加の保護は2017年従業員が退職日に行った不正行為(アカウント停止)を受けて導入されたものとみられる。*5
5000BTC還元の詐欺投稿が行われたアカウント

piyokangoが確認したのは15アカウント。
暗号資産関連のアカウントから外部団体と提携しコミュニティへ5000BTCを還元するという投稿が行われた。当該ツイートが確認されたアカウントは以下の通り。

RippleはXRPで倍返しを行うといったツイートになっており指定されたアドレスもリップルのものであった。

ビットコイン2倍返しの投稿が行われたアカウント

piyokangoが確認したのは24アカウント。

ハッカーグループによって標的となっていた可能性のあるアカウント

piyokangoがスクリーンショットやチャットログなどで確認できた取引対象になっていた可能性のある12アカウント。

  • @6
  • @b
  • @l
  • @s
  • @w
  • @y
  • @50 (suspended)
  • @vague (suspended)
  • @R9
  • @dark (suspended)
  • @zakary
  • @gurv
  • @anxious (suspended)
  • @vampire
  • @anonymous
  • @insane
  • @psycopath
  • @spy
  • @bren
  • @j0e
  • @emo
  • @style
  • @heart
  • @pain
  • @xx
  • @home
  • @bored
  • @girl
  • @smile
  • @wonder
詐欺サイト
  • cryptoforhealth[.]com
  • mkeyworth5@gmail.com (登録アドレス)
  • Anthony Elias (登録者名)
詐欺関連が疑われるアドレス
  • 1Ai52Uw6usjhpcDrwSmkUvjuqLpcznUuyF
  • bc1qxy2kgdygjrsqtzq2n0yrf2493p83kkfjhx0wlh
  • 38qyALcxSnfzaFFTnt46xHMTN3GCGanKXC
  • bc1q0kznuxzk6d82e27p7gplwl68zkv40swyy4d24x
  • 1AXRMCHu2yCTHJGcaaCBmWAzXCWmo7RKFx
  • bc1qwr30ddc04zqp878c0evdrqfx564mmf0dy2w39l
  • rhYSX8qSpoU7Dwjh6vMSuACu8MBECn6bQR

更新履歴

  • 2020年7月22日 AM 新規作成
  • 2020年7月25日 AM 続報反映
  • 2020年8月1日 AM 続報反映