多要素認証アプリ「Authy」、3,300万件超の電話番号が流出
マイナビニュース / 2024年7月5日 9時26分
Bleeping Computerは7月3日(米国時間)、「Hackers abused API to verify millions of Authy MFA phone numbers」において、多要素認証(MFA: Multi-Factor Authentication)アプリの「Authy」から3,300万件超の電話番号が漏洩したと報じた。これは脅威アクター「ShinyHunters」が2024年6月27日にハッキングフォーラムに投稿した内容から明らかになった。Authyを提供するTwilioは侵害可能だったことを認め、セキュリティアップデートを公開している。
○漏洩したデータの種類
脅威アクターが投稿した内容によると、漏洩したデータには顧客ID、電話番号、アカウントステータス、デバイス数などが含まれるという。氏名や住所などは含まれていないが、脅威アクターはGeminiおよびNexoの漏洩データと電話番号の比較を示唆する投稿をしており、SIMスワッピング攻撃やフィッシング攻撃を準備している可能性が指摘されている。
Bleeping Computerは、脅威アクターが暗号資産アカウントに不正アクセスして、すべての資産を窃取する可能性があるとして注意を呼びかけている。
○Twilioの対応
Twilioは7月1日(米国時間)、この件に関するセキュリティアラートを「Security Alert: Update to the Authy Android (v25.1.0) and iOS App (v26.1.0) | Twilio」にて公開した。Twilioはデータ漏洩について次のように述べ、影響は限定的だが追加の攻撃に注意してほしいとしている。
脅威アクターがTwilioの(別の)システムやその他の機密データにアクセスした証拠は確認していない。予防処置として、すべてのユーザーにセキュリティアップデートを適用した最新アプリへの更新をお願いする(本件データ漏洩により)Authyアカウントが侵害されることはないが、脅威アクターがアカウントに関連付けられた電話番号をフィッシングやスミッシング攻撃に悪用する可能性がある)。
セキュリティアップデートを適用した最新アプリのバージョンは次のとおり。
Authy (Android) v25.1.0
Authy (iOS) v26.1.0
Authyを利用しているユーザーは、速やかに最新版にアップデートすることが推奨されている。また、Authyアカウントにアクセスできるかどうかを確認し、アクセスできない場合はAuthyサポートに連絡することが望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
Twilio、「Authy」の多数の顧客電話番号流出を認めアプリ更新を呼び掛け
ITmedia NEWS / 2024年7月4日 11時21分
-
ランサムウェアの被害に遭った時に必要なパスワードリセットのポイント
マイナビニュース / 2024年6月21日 10時58分
-
サイバー攻撃者がT-Mobileを侵害したと主張、T-Mobileは否定
マイナビニュース / 2024年6月21日 9時21分
-
GitHubリポジトリを破壊して身代金を要求するサイバー攻撃に注意
マイナビニュース / 2024年6月14日 11時41分
-
ニューヨーク・タイムズ紙の内部ソースコードなど約270GBが流出
マイナビニュース / 2024年6月10日 17時48分
ランキング
-
1「どう見てもセガのアレ」 コンビニうどんの容器トレーが「圧倒的既視感」「コントローラーの抜け殻」と話題
ねとらぼ / 2024年7月7日 17時0分
-
2モトローラが日本市場で急成長している理由 1年で出荷台数2倍以上、「edge」「razr」の販路拡大がカギに
ITmedia Mobile / 2024年7月6日 11時45分
-
3「静岡40度」がトレンド入り「まだ梅雨明け前だってのに…」「そんな暑くなるところだっけ?」「酷暑日って初めて聞いた」
iza(イザ!) / 2024年7月7日 16時6分
-
4「わろてる」 人気VTuberが部屋で“でかめのやらかし”をした様子を公開し話題に 「どうなってんのこれw」「想像以上」
ねとらぼ / 2024年7月7日 18時0分
-
5わかる、わかるぞ……! シンプルな線で“好きなお笑い芸人”を描いた力作に「凄い!!」「神の所業」
ねとらぼ / 2024年7月7日 19時30分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください