2024年1月9日(現地時間)、米国証券取引委員会は同委員会が運用を行っている公式SNSアカウントが何者かにのっとられ、虚偽の内容が投稿されたことを公表しました。ここでは関連する情報をまとめます。
のっとったXアカウントから虚偽投稿
- のっとりの被害にあったのは米国証券取引委員会がXで運用する公式アカウント(@SECGov)。その後、@SECGovから「ビットコインETFの上場および取引について承認した」などと虚偽の投稿や第三者の投稿に対して「いいね」の付与が勝手に行われた。
- 公式発表 *1よりも先んじて投稿された虚偽情報を受けて、ビットコインの価格が上下(約4万8千ドルまで上昇し、その後約4万5千ドルに下がった)しており、市場に影響が及んだとみられている。*2 *3 *4 虚偽投稿は16時11分、その後16時26分までに問題の投稿は削除されたが、その間に流通するビットコインについて約400億ドル相当の変動が生じた。*5 虚偽情報の投稿後、米証取委委員長が承認は行っていないとする投稿を自身のXアカウントより行った。
- 影響を受けたのは@SECGovのみで、同委員会のシステムやデータ、デバイス、そして他のSNSアカウントへ接続された痕跡は確認されていないとした。
トラブル受けMFAを無効化していた
- のっとりの手口は@SECGovに紐づいた電話番号に対して行われたSIMスワップが発端で、通信事業者を介して攻撃を受けており、掌握された電話番号を通じて@SECGovのパスワードリセットが行われていた。SIMスワップはのっとりから2日後に行われた通信事業者との協議より確認されたものだが、どのような手口だったのか、@SECGovに紐づけられた電話番号をどのように把握したのかについてはFBIなどが捜査を進めている。*6
- @SECGovは二要素認証を以前は有効にしていたが、その後にXのアカウント接続で問題が生じたため、2023年7月に米証取委スタッフの要請を受け、Xサポートを通じて二段階認証を無効化。不正ログインが行われた2024年1月9日までこの状態が続いていた。*7 X社も予備調査の結果を投稿しており、@SECGovの二要素認証が無効化されていたとして、Xのシステム自体の侵害については否定した。
- 米証取委は今回の件を受けて、Xはもとより運用を行っているSNSアカウントにおいて2要素認証が提供されている場合はすべて有効とするよう対応している。
更新履歴
-2024年2月7日 AM 新規作成
*1:1月10日に現物ビットコインETFの取引が承認された。
*2:米証券取引委のXアカウント ハッキングされ偽投稿で市場混乱,NHK,2024年1月10日
*3:米SECのX公式アカウント乗っ取り、公式発表前にビットコインETFの偽情報投稿,CNN,2024年1月11日
*4:米当局の偽投稿で一時混乱 ビットコイン市場、アカウント乗っ取りで,時事通信,2024年1月11日
*5:Lawmakers Are Out for Blood After a Hack of the SEC’s X Account Causes Bitcoin Chaos,Wired,2024年1月10日
*6:SEC Says X Account Hacked via SIM Swapping,Security Week,2024年1月23日
*7:米証券取引委員会も乗っ取られた、あなたの会社のXアカウントもこんなに危ない,日経クロステック,2024年1月31日