<Twitterの共同創業者、ジャック・ドーシーCEOのTwitterアカウントが乗っ取られ、約20分にわたって人種差別的なツイートなどを多数投稿された......>
Twitterの共同創業者、ジャック・ドーシーCEOの公式Twitterアカウントが米太平洋時間の8月30日の午後、約20分にわたって人種差別的なツイートなどを多数投稿した。
Twitter公式アカウントが問題発生直後に「問題は認識している」とツイートし、一連のツイートを削除した後の午後2時22分、「アカウントは保護された。Twitterのシステムが侵入された形跡はない」と説明。
さらにその後、「通信キャリアのセキュリティ上の過失で(ドーシー氏の)アカウントに紐付けられた携帯番号が乗っ取られた。権限のない人物が、乗っ取った携帯番号からSMSとしてツイートを投稿した。この問題は解決した」と発表した。
We're aware that @jack was compromised and investigating what happened.— Twitter Comms (@TwitterComms) August 30, 2019
恐らく「SIMスワップ」で乗っ取られた......
Twitterは今のところ、これ以上詳しい説明はしていないが、「通信キャリアのセキュリティ上の過失」は恐らく「SIMスワップ」を指すと推測できる。SIMスワップは、スマートフォンが盗難や紛失で使えなくなった場合、通信キャリアに同じ携帯番号の新しいSIMカードを発行してもらうサービスを悪用し、第三者が他人の携帯番号を乗っ取る方法だ。
通常SIMカードの更新には個人IDなどの個人情報が必要だが、乗っ取り犯は何らかの方法でそうした情報も入手したか、またはキャリアの担当者周辺からなんらかの手段で漏れた可能性もある。
また、「SMSとしてツイートを投稿」というのは、Twitterが2010年に買収したCloudhopperの技術をドーシー氏が使っていたということだろう。乗っ取られたアカウントからのツイートにも「Cloudhoopperから投稿」と表示されていた。
ドーシー氏の場合はCloudhopperをTwitterと連携させていたため、乗っ取り犯はドーシー氏のTwitterアカウントを乗っ取る労を執らずにツイートできた。
ドーシー氏はこれまでほとんどCoudhopperからツイートしたことがなかった(確認できるのはこのツイートくらいだ)。ドーシー氏がもし、使わないアプリとの連携をTwitterの[設定]→[アプリとセッション]でアクセス権を取り消していれば、こんな失態はしなかっただろう。
だが、ドーシー氏がCloudhopperのアクセス権を無効にしていたとしても、Twitterログインの2段階認証(Twitterはユーザーに対し、2段階認証を強く推奨している)の、2つ目の認証コードをSMSで生成する設定にしていたとしたら、Twitterアカウントも乗っ取られていた可能性がある。
二段階認証には、SMSではなく、専用端末を使う方がより安全だ。
トランプ大統領が次のターゲットだった
乗っ取り犯はドーシー氏のアカウントから人種差別的ツイートに交えて、「Chuckling SquadのDiscord(音声チャットサービス)に参加しよう」というツイートも投稿していた。BuzzFeedによると、このチャットルームではドナルド・トランプ米大統領を次のターゲットにしようと話し合われていたという(チャットルームは既に閉鎖されている)。
ドーシーCEOのツイートは、とても本人がツイートするような内容ではなかったため、乗っ取られたものだと誰もが気づいたが、トランプ氏の場合は日頃のツイートの影響が大きいだけに、乗っ取られて問題のあるツイートを投稿されたら、国際問題を引き起こしかねないだろう。
Jack Dorsey's Twitter feed apparently hacked
佐藤由紀子
Twitterの共同創業者、ジャック・ドーシーCEOの公式Twitterアカウントが米太平洋時間の8月30日の午後、約20分にわたって人種差別的なツイートなどを多数投稿した。
Twitter公式アカウントが問題発生直後に「問題は認識している」とツイートし、一連のツイートを削除した後の午後2時22分、「アカウントは保護された。Twitterのシステムが侵入された形跡はない」と説明。
さらにその後、「通信キャリアのセキュリティ上の過失で(ドーシー氏の)アカウントに紐付けられた携帯番号が乗っ取られた。権限のない人物が、乗っ取った携帯番号からSMSとしてツイートを投稿した。この問題は解決した」と発表した。
We're aware that @jack was compromised and investigating what happened.— Twitter Comms (@TwitterComms) August 30, 2019
恐らく「SIMスワップ」で乗っ取られた......
Twitterは今のところ、これ以上詳しい説明はしていないが、「通信キャリアのセキュリティ上の過失」は恐らく「SIMスワップ」を指すと推測できる。SIMスワップは、スマートフォンが盗難や紛失で使えなくなった場合、通信キャリアに同じ携帯番号の新しいSIMカードを発行してもらうサービスを悪用し、第三者が他人の携帯番号を乗っ取る方法だ。
通常SIMカードの更新には個人IDなどの個人情報が必要だが、乗っ取り犯は何らかの方法でそうした情報も入手したか、またはキャリアの担当者周辺からなんらかの手段で漏れた可能性もある。
また、「SMSとしてツイートを投稿」というのは、Twitterが2010年に買収したCloudhopperの技術をドーシー氏が使っていたということだろう。乗っ取られたアカウントからのツイートにも「Cloudhoopperから投稿」と表示されていた。
ドーシー氏の場合はCloudhopperをTwitterと連携させていたため、乗っ取り犯はドーシー氏のTwitterアカウントを乗っ取る労を執らずにツイートできた。
ドーシー氏はこれまでほとんどCoudhopperからツイートしたことがなかった(確認できるのはこのツイートくらいだ)。ドーシー氏がもし、使わないアプリとの連携をTwitterの[設定]→[アプリとセッション]でアクセス権を取り消していれば、こんな失態はしなかっただろう。
だが、ドーシー氏がCloudhopperのアクセス権を無効にしていたとしても、Twitterログインの2段階認証(Twitterはユーザーに対し、2段階認証を強く推奨している)の、2つ目の認証コードをSMSで生成する設定にしていたとしたら、Twitterアカウントも乗っ取られていた可能性がある。
二段階認証には、SMSではなく、専用端末を使う方がより安全だ。
トランプ大統領が次のターゲットだった
乗っ取り犯はドーシー氏のアカウントから人種差別的ツイートに交えて、「Chuckling SquadのDiscord(音声チャットサービス)に参加しよう」というツイートも投稿していた。BuzzFeedによると、このチャットルームではドナルド・トランプ米大統領を次のターゲットにしようと話し合われていたという(チャットルームは既に閉鎖されている)。
ドーシーCEOのツイートは、とても本人がツイートするような内容ではなかったため、乗っ取られたものだと誰もが気づいたが、トランプ氏の場合は日頃のツイートの影響が大きいだけに、乗っ取られて問題のあるツイートを投稿されたら、国際問題を引き起こしかねないだろう。
Jack Dorsey's Twitter feed apparently hacked
佐藤由紀子