米国時間7月31日、テキサス州ヒルズボロ郡のAndrew Warren検事は、同州タンパ在住の17歳を30件の重罪容疑で逮捕した。最近Twitter(ツイッター)で起きたハッキング事件の首謀者だとされている。
事件は7月に起こり、Apple(アップル)、Elon Musk(イーロン・マスク)氏、Barack Obama(バラク・オバマ)氏、Joe Beiden(ジョー・バイデン)氏ら著名人のアカウントがハックされ、暗号通貨詐欺に誘導するメッセージがそこから発信された。指定されたビットコインのウォレットに送金すると、金額が2倍になった返ってくると謳われていた。
10代の容疑者(未成年のため身元は公表されていない)はこの暗号通貨詐欺によって10万ドル以上を稼いだとされている。
州検事局によると容疑者は31日に連邦捜査局(FBI)および米国司法省の捜査によって逮捕され、成人として裁かれる。容疑は組織的詐欺(5万ドル以上)1件、および通信詐欺(300ドル以上)17件にわたる。
「一連の犯罪は著名人の名前を用いて実行されたが、主要な被害者は彼らではない」とWarren氏が声明で語った。「この ‘Bit-Con’(ビットサイン詐欺)は、ここフロリダを含む全米の一般人から金銭を搾取するよう仕組まれていた。この大規模な詐欺事件はわれわれの庭で画策されたものであり、断じて許すことはできない」
この攻撃はTwitter自身の内部管理ツールを使って著名人アカウントに侵入することで行われた。「
Twitterは31日に公式ブログを更新し、ハッキング事件の概要を説明した。
2020年7月15日に起きたソーシャルエンジニアリングは、電話によるスピアフィッシングによって少数の社員が標的となった。攻撃が成功するためには、当社の内部ネットワークにアクセスが可能であること、及び社内サポートツールの利用を許可された特定社員の個人認証が必要だった。当初標的とされた社員の全員がアカウント管理ツールの利用を許可されていたわけではなかったが、アタッカーは彼らの個人認証を用いて当社の内部システムをアクセスし、われわれのプロセスに関する情報を手に入れた。この情報を得ることによって、アカウントサポートツールを利用できる別の社員を標的にできるようになった。アタッカーはこれらのツールを利用できる社員の個人認証を使って、130件のTwitterアカウントに侵入し、最終的に45のアカウントからツイートを発信し、36アカウントのDM受信箱をアクセス、7アカウントのTwitterデータをダウンロードした。
将来同様の手口が使われないように、Twitterは「セキュリティー作業手順の適用を早め、ツールを改善する」ほか、社内システムの不正アクセスを検出、防止するための方法を改善すると言っている。
アップデート:司法省は個別の発表で、ハッキング容疑で逮捕されたのはフロリダ州タンパの10代だけではなく、ほかに英国のMason Sheppard(19歳)、別名 “Chaewon”(通信詐欺、マネーロンダリング、および保護されたコンピューターの意図的アクセスの容疑)とフロリダ州オーランドのNima Fazeli(22歳)、別名”Rolex” (保護されたコンピューターの意図的アクセスの幇助)の2名が関与していたことを明らかにした。2名はカリフォルニア州北部地区検察局で処置される。
「ハッカー社会には、今回のTwitterハックのようなアタックは匿名で実施可能で足がつかないとする誤った認識がある」とDavid L. Anderson検事が声明で語った。「今日の発表は、保護された環境に対する遊びや金銭目的のハッキングは割りに合わないことを知らしめるものだ。インターネット上の犯罪は、本人にとっては見られていないように感じるかもしれないが、隠し通せるものなどない。法を犯せばわれわれが必ず見つける、ということを潜在的犯罪者に言っておきたい」
関連記事:
Twitter says ‘phone spear phishing attack’ used to gain network access in crypto scam breach