第６３９号コラム：「2020年7月に発生したTwitter社内の重要システムへの侵害事案から得るべき教訓」

第６３９号コラム：名和 利男　理事（（株）サイバーディフェンス研究所　専務理事／上級分析官）
題：「2020年7月に発生したTwitter社内の重要システムへの侵害事案から得るべき教訓」

2020年7月15日、Twitterにおいて有名人や大手企業の公式（認証済み）アカウントが一斉に乗っ取られ、同アカウントから暗号資産詐欺を狙ったツイートが投稿された。

被害を受けたのは、ビル・ゲイツ氏（マイクロソフト創業者）、イーロン・マスク氏（テスラ共同創設者）、ジェフ・ベゾス氏（アマゾン共同創設者）などの企業家、ジョー・バイデン氏（米民主党の大統領候補）、バラク・オバマ氏（前米国大統領）といった政治家、アップルやウーバーといった企業、BitcoinやCoinbaseといった暗号通貨関連の公式（認証済み）アカウントであった。Twitter社の限られた従業員のみがアクセス可能なユーザー管理システム（以下、アカウントサポート・ツール）を使って130のアカウントが攻撃を受けた。

Twitterの公式（認証済み）アカウントとは、ブルーの認証済みバッジにより、著名人のアカウントなど、世間の関心を集めるアカウントが本物であることを示すものである。もしバッジをプロフィール画像や背景画像の一部に使用した場合、または認証済みであることをほのめかす方法で使用した場合、そのアカウントは永久凍結される。

Twitter社は、事件発生3日後、本来は外部からハッキングを受けることが想定されていない社内の重要システムが、どのようにして侵害を受けたかについてブログで報告した。An update on out security incident

この報告内容には、一部不明なところがある。おそらく調査中であったか、何かしらの理由で伏せていたのだろうと思われる。これに対して、多くのサイバーセキュリティ専門家が、報告内容を解説する形で経験に基づく推定や関係筋の情報として補足したブログを次々に公開し、さまざまなWebinarで議論を繰り返した。その流れの中で、Twitter社が反論しないものや、信頼できるものがいくつか確認できた。それらを踏まえて、この侵害事案をレビューすると、次のようなプロセスで行われたと考えることができる。

1.2020年7月15日、攻撃者は「数名の従業員」に「電話スピアフィッシング攻撃（Vishing）」を成功させ、社内システム（Slack）のアカウントを、複数の手段（アカウントに紐づけられているメールアドレスの変更等の2段階認証回避）で不正アクセス（乗っ取り）した。
2.最初に標的にされた「数名の従業員」は、重要システムである「アカウントサポート・ツール」の使用許可を持っていなかったが、攻撃者は彼らのSlackアカウントを使用して、何らかの方法［非公開］で、社内プロセスに関する情報を入手した。
3.攻撃者は、この社内プロセスに関する情報を利用して、「アカウントサポート・ツール」を操作するアクセス権を持つ従業員を標的にした攻撃（ソーシャルエンジニアリング等）を仕掛けて、「アカウントサポート・ツール」の資格情報（ログイン情報）の窃取に成功した。
4.攻撃者は、「アカウントサポート・ツール」に不正ログインして、130アカウントの乗っ取り、45アカウントによる偽ツイート、36アカウントのDMトレイへの不正アクセス、7アカウントのユーザー詳細データのダウンロードを行った。

一部ブログにおいて、Slackの脆弱性が利用されたと主張しているものが見られるが、複数の米国のパートナーらとディスカッションを重ねたところ、ソフトウェアの脆弱性ではなく、Slack社が、2019年4月、上場準備プロセスの中で米国証券取引委員会に提出した文書に示されている「今後数年間に直面する可能性のあるリスク要因」に関係するという捉え方ができるという観点を頂いた。

・Slack Technologies, Inc.
・「Slackのユーザーまたは組織は、APIキー、シークレット、またはパスワードを開示または制御不能にするか、サードパーティのシステムで同じまたは類似のシークレットまたはパスワードを使用する可能性があり、Slack内のアカウントおよびデータへの不正アクセスにつながる可能性がある。」
・「例えば、独立した第三者のデータセキュリティインシデントにより、これらのAPIキー、シークレット、またはパスワードを侵害された場合など」

当初、このハッキングは、迷宮入りするのではという憶測がいくつも流れたが、事件発生2週間後の7月31日、フロリダ州ヒルズボロ郡の州検事アンドリュー・ウォーレン(Andrew Warren)氏が、「首謀者」として17歳の少年を逮捕し、訴追した。米国のほとんどの州では、17歳までは訴追されない法制度をとっているが、フロリダ州の法律では、金融詐欺事件において未成年者を成人として起訴することが許可されている。この州検事は、ビットコイン詐欺に関連した容疑を金融詐欺に適用したようである。ちなみに、この首謀者の容疑は、17カウントの通信詐欺、11カウントの個人情報の不正使用、1カウントが5,000ドルを超える組織的詐欺、1カウントのコンピューターまたは電子デバイスへの不正アクセスである。（翌8月上旬にこの裁判の進展状況を伝えた報道によると、この首謀者は禁錮200年ほどの実刑判決になると見込まれている。）また、米司法省は、英国在住の19歳とフロリダ州22歳を、このハッキングに加担した疑いで訴追した。

これらの訴追文書を通読すると、「首謀者」らは、Twitterの重要システムをハッキングする前後にかけて、次のようなやり取りをしていたとしている。

（ハッキング前）
・「ゲーマー向けの無料ボイスチャットサービス Discord」において、17歳の「首謀者」が、ハンドル名「Kirk#5270」で魅力的な提案をした。その内容は、「私はツイッターで働いている。・・・どんな名前（Twitterアカウント）も取得できる。一緒に活動（闇取引）をしたいなら教えくれ」であった。
・この提案に応えた英国の19歳は、ハンドル名「Ever So Anxious#0001」で、「Kirk#5270」（17歳の「首謀者」）と7時間にわたって少なくとも50人のTwitterアカウントの乗っ取りについて話し合った。

（ハッキング後）
・「オンラインアカウントの乗っ取りや被害者の電話番号の制御を奪取するためのSIMスワッピング攻撃の実施に携わる人々の間で人気のあるフォーラム OGUsers」において、英国の19歳が、ハンドル名「Chaewon」で「250ドルで任意のTwitterアカウントに紐付けられたメールアドレスを変更する、そして1アカウントあたり2000ドルから3000ドルで直接アクセスを提供できる」と宣伝した。
・Discord上の「Kirk#5270」（17歳の「首謀者」）は、Twitter社内の「アカウントサポート・ツール」のアクセス権を不正取得したこと見せびらかすため、Twitterアカウント「@bumblebee」、「@sc」、「@vague」、「@R9」の管理画面をTwitterで投稿した。（短いハンドル名は特定のハッキングコミュニティの間で非常に人気がある。）
・Discord上の「Ever so anxious#0001」（英国の19歳）は、OGUsers上でハンドル名「Chaewon」で仲介販売し、うち33万ドル分を「Kirk#5270」（17歳の「首謀者」）に納金した。

また、2週間という短期間で「首謀者」を追求できた大きな理由は、FBIが、2020年5月に大規模に漏洩したOGUsersの内部データ（ユーザーの詳細や履歴などの情報）をスキミングしたことで、英国の19歳とフロリダ州の22歳のアカウントを追跡でき、Coinbaseを介して首謀者らが行った取引を発見したことにある。

このOGUsersの大規模なデータ漏洩の概要は、次のとおり。

・2020年5月12日、OGusersの管理者は、ハードドライブの障害により数か月分のプライベートメッセージ、フォーラム投稿、名誉ポイントが消去され、2019年1月からバックアップを復元したと、フォーラムのメンバーに機能停止について説明した。
・しかし、その事件は、フォーラムのユーザーデータベースの窃取と、フォーラムのハードドライブのワイプ（意図的消去）とが一致していた。
・2020年5月16日、ライバルのハッキングコミュニティRaidForumsの管理者が、誰でも無料でダウンロードできるようにOGusersデータベースを公表した。

以上、Twitter社内の重要システムへの侵害事案をお伝えした。

私たちは、この事案から貴重な教訓をいくつも得ることができるはずである。

筆者は、ここ数年、国内の組織や公的機関における意思決定層や現場責任者にセキュリティレクチャーを兼ねたディスカッションをさせて頂いているが、このような事案について、さまざまなエビデンスをもって詳細にお伝えするたびに、次のような反応が返ってくる。

・まるで他人事のように「こんなことになっていたんですねー」、「怖いですねー」のような発言を繰り返す
・自身の知見や発想では解決不能と早々に諦めた表情をされて沈黙を貫く
・自組織では発生することは想定できない（したくない）と根拠不明なポジティブ思考になり、発生しない理由を次々に発言しようとする
・少し苛立ちをもって、「困惑させるだけの話はいらないので、私たちが対応できる範囲の話にしていただきたい！」などのような現実逃避のような態度になる

筆者に何かしらの期待を持たれてレクや面談の要請をしていただいているため、これでは効果がなく、次に進まなくなるばかりか、負の影響を与えるだけになりかねないと（いつも）危惧している。

そのため、象徴的な侵害事案に関する報告や説明する際には、そこから私達が何を得るべきかを補足するようにしている。その際、実情を把握したことで困惑気味になった意思決定層や現場責任者に対して、適切な状況認識、策定すべき方針、実務を担当する現場への配慮事項などを見出していだことが重要だと考えている。

今回紹介した侵害事案を「事業における安全管理」の観点で眺めると、十数種ほどの「見出された事項(Findings)」と「得るべき教訓(Lessons Learned)」を得ることができた。（本コラムでは、2種のみ紹介。）

（見出された事項）
・F-1. 管理者は、自社内で利用している一般業務用システムにおけるリスク要因の存在を十分に把握しておらず、それに相応した技術的および管理的対策の徹底を怠っていた。
・2019年4月、Slackが上場準備プロセスの中で米国証券取引委員会に提出した文書（上述）に基づいたセキュリティ強化策が、Slack社から適切に公表されている。
・F-2. 管理者は、直近で急増していたセキュリティ問題（SIMスワッピング、Vishingなど）に追随した対策の積み上げや方針の見直しを怠っていた。
・SIMスワッピングは、2019年末から、携帯番号が詐取されて仮想通貨盗難が深刻な問題になり、被害を受けた携帯電話ユーザーが、米国の通信会社に避難が強まり、コロナ禍において、その被害がより深刻かつ広範囲に及んだため、2020年夏頃、通信会社への訴訟準備がされていた。【PDF】
・Vishingは、2020年春頃から急増し、米国国内の複数のサイバーセキュリティ・コミュニテイで、テレワークを標的にした Visihing キャンペーンに関する警告が相次いで出ていた。今回のTwitterの事件をきっかけに、2020年8月20日、米連邦捜査局（FBI）と米国土安全保障省サイバーセキュリティー・インフラストラクチャー・セキュリティー庁（CISA）が共同で勧告を発表した。Cyber Criminals Take Advantage of Increased Telework Through Vishing Campaign

（得るべき教訓）
・L-1. 管理者が、サイバーセキュリティ強化策の一つであるOSINT能力獲得による情報運用の整備、および管理者の状況認識を適宜かつ適切にするための仕組みが整備する、あるいはその機能を高める責任を持つ。
・管理者のジョブディスクリプション（職務記述書）や組織規則に所掌事務として記載することが望ましい。
・規則化されていない業務の割当は、確実な実現が期待できなく、責任の所在が不明確になりやすい。さらに、人事考課の確立も伴わないため、同じ（過ちの）繰り返しになる可能性がある。
・L-2. 組織のサイバーセキュリティを向上させるためには、既存の社員に対する指示及び（僅かな予算での）教育訓練では実現しないことを受け入れ、外部のエキスパートの力を積極的に活用する方針を取ることが必要である。
・2020年春に、セキュリティの弱さを強く避難されたZoomは、外部のエキスパートを積極的に活用して、見事に克服した。Zoom announces collaboration with security experts from Netflix,Uber, EA and more
・Zoom hires Jason Lee from Salesforce to serve as new CISO
・エキスパートに求められるものは、インファレンス能力（物事の真偽を推論し、判断できる能力）である。
・内容領域専門家

【著作権は、名和氏に属します】