Twitterの著名人ハッキング事件でフロリダの17歳「首謀者」が逮捕

次の記事

ケータリングのノンピが約2.1億円調達、法人オンライン飲み会専用の食事配送「オン飲みBOX」開始

米国時間7月31日、テキサス州ヒルズボロ郡のAndrew Warren(アンドリュー・ウォーレン)検事は、同州タンパ在住の17歳を30件の重罪容疑で逮捕した。最近Twitter(ツイッター)で起きたハッキング事件の首謀者だとされている。

事件は7月に起こり、Apple(アップル)、Elon Musk(イーロン・マスク)氏、Barack Obama(バラク・オバマ)氏、Joe Beiden(ジョー・バイデン)氏ら著名人のアカウントがハックされ、暗号通貨詐欺に誘導するメッセージがそれぞれのアカウントから発信された。指定されたビットコインのウォレットに送金すると、金額が2倍になった返ってくるとうたわれていた。

未成年のため身元は公表されていないが、この十代の容疑者はこの暗号通貨詐欺によって10万ドル(約1100万円)以上を稼いだとされている。

州検事局によると容疑者は7月31日に連邦捜査局(FBI)および米国司法省の捜査によって逮捕され、成人として裁かれる。容疑は組織的詐欺で罰金5万ドル(約530万円)以上が1件、および通信詐欺で罰金300ドル(約3万2000円)以上が17件にわたる。

「一連の犯罪は著名人の名前を用いて実行されたが、主要な被害者は彼らではない」とウォーレン氏は声明で語った。「この『Bit-Con』(ビットサイン詐欺)は、ここフロリダを含む全米の一般人から金銭を搾取するよう仕組まれていた。この大規模な詐欺事件は我々の庭で画策されたものであり、断じて許すことはできない」。

この攻撃は、Twitter自身の内部管理ツールを使って著名人アカウントに侵入することで行われた。Twitterは7月31日に公式ブログを更新し、ハッキング事件の概要(未訳記事)を説明した。

2020年7月15日に起きたソーシャルエンジニアリングは、電話によるスピアフィッシングによって少数の社員が標的となった。攻撃が成功するためには、当社の内部ネットワークにアクセスが可能であること、および社内サポートツールの利用を許可された特定社員の個人認証が必要だった。当初標的とされた社員の全員がアカウント管理ツールの利用を許可されていたわけではなかったが、アタッカーは彼らの個人認証を用いて当社の内部システムをアクセスし、我々のプロセスに関する情報を手に入れた。この情報を得ることによって、アカウントサポートツールを利用できる別の社員を標的にできるようになった。アタッカーはこれらのツールを利用できる社員の個人認証を使って、130件のTwitterアカウントに侵入し、最終的に45のアカウントからツイートを発信し、36アカウントのDM受信箱をアクセス、7アカウントのTwitterデータをダウンロードした。

将来同様の手口が使われないように、Twitterは「セキュリティー作業手順の適用を早め、ツールを改善する」ほか、社内システムの不正アクセスを検出、防止するための方法を改善すると言っている。

アップデート司法省は個別の発表で、ハッキング容疑で逮捕されたのはフロリダ州タンパの十代だけではなく、ほかに英国で19歳のMason Sheppard(メイソン・シェパード)、別名「Chaewon」(通信詐欺、マネーロンダリング、および保護されたコンピューターの意図的アクセスの容疑)と、フロリダ州オーランドで22歳のNima Fazeli(ニマ・ファゼリ)、別名「Rolex」(保護されたコンピューターの意図的アクセスの幇助)の2名が関与していたことを明らかにした。2名はカリフォルニア州北部地区検察局で処置される。

「ハッカー社会には、今回のTwitterハックのようなアタックは匿名で実施可能で足がつかないとする誤った認識がある」とDavid L. Anderson(デビッド・L・アンダーソン)検事が声明で語った。「本日の発表は、保護された環境に対する遊びや金銭目的のハッキングは割りに合わないことを知らしめるものだ。インターネット上の犯罪は、本人にとっては見られていないように感じるかもしれないが、隠し通せるものなどない。法を犯せば我々が必ず見つける、ということを潜在的犯罪者に言っておきたい」。

関連記事:Twitter says ‘phone spear phishing attack’ used to gain network access in crypto scam breach(未訳記事)

原文へ

(翻訳:Nob Takahashi / facebook