Twitterのジャック・ドーシーCEOのアカウントが乗っ取られ、トランプも狙われていた

＜Twitterの共同創業者、ジャック・ドーシーCEOのTwitterアカウントが乗っ取られ、約20分にわたって人種差別的なツイートなどを多数投稿された......＞

Twitterの共同創業者、ジャック・ドーシーCEOの公式Twitterアカウントが米太平洋時間の8月30日の午後、約20分にわたって人種差別的なツイートなどを多数投稿した。

Twitter公式アカウントが問題発生直後に「問題は認識している」とツイートし、一連のツイートを削除した後の午後2時22分、「アカウントは保護された。Twitterのシステムが侵入された形跡はない」と説明。

さらにその後、「通信キャリアのセキュリティ上の過失で（ドーシー氏の）アカウントに紐付けられた携帯番号が乗っ取られた。権限のない人物が、乗っ取った携帯番号からSMSとしてツイートを投稿した。この問題は解決した」と発表した。

We're aware that @jack was compromised and investigating what happened.— Twitter Comms (@TwitterComms) August 30, 2019

恐らく「SIMスワップ」で乗っ取られた......

Twitterは今のところ、これ以上詳しい説明はしていないが、「通信キャリアのセキュリティ上の過失」は恐らく「SIMスワップ」を指すと推測できる。SIMスワップは、スマートフォンが盗難や紛失で使えなくなった場合、通信キャリアに同じ携帯番号の新しいSIMカードを発行してもらうサービスを悪用し、第三者が他人の携帯番号を乗っ取る方法だ。

通常SIMカードの更新には個人IDなどの個人情報が必要だが、乗っ取り犯は何らかの方法でそうした情報も入手したか、またはキャリアの担当者周辺からなんらかの手段で漏れた可能性もある。

また、「SMSとしてツイートを投稿」というのは、Twitterが2010年に買収したCloudhopperの技術をドーシー氏が使っていたということだろう。乗っ取られたアカウントからのツイートにも「Cloudhoopperから投稿」と表示されていた。

ドーシー氏の場合はCloudhopperをTwitterと連携させていたため、乗っ取り犯はドーシー氏のTwitterアカウントを乗っ取る労を執らずにツイートできた。

ドーシー氏はこれまでほとんどCoudhopperからツイートしたことがなかった（確認できるのはこのツイートくらいだ）。ドーシー氏がもし、使わないアプリとの連携をTwitterの［設定］→［アプリとセッション］でアクセス権を取り消していれば、こんな失態はしなかっただろう。