2024年が始まってから、「セキュリティ会社や著名な組織のXアカウントが乗っ取られた」というニュースが続いています。米国証券取引委員会(SEC)もやられています。
ここでは、X(旧Twiiter)アカウント乗っ取りについて、現在(2024/01/10)までで判明している情報をまとめています。新しい情報が入った場合には更新していきます。
(2024/01/11更新:Mandiantから調査結果・ツイートが出たので追記しました。また、Xから米国証券取引委員会に関する調査結果が出たので追記しました。)
(2024/01/23更新:米国証券取引委員会が「SIMスワッピング攻撃でXアカウントが不正利用された」という正式発表を出した為、追記しました。)
X(旧Twitter)アカウント乗っ取りについて
冒頭でも述べている通り、2024年初頭からXアカウント乗っ取りに関するニュースが相次いでいます。下記に判明しているニュースを並べていきます。
- 2023/01/03 : Mandiant社のXアカウントがハイジャックされ、Phantom暗号ウォレットになりすまして暗号通貨詐欺を共有
- 2023/01/03: カナダ上院議員の「Amina Gerba」氏のアカウントがハッキングされる(アカウントにはグレーバッジ)
- 2023/01/04: ブラジルのRS連邦副議員のユビラタン・サンダーソンのアカウントがハッキングされる(アカウントにはグレーバッジ)
- 2023/01/05: Web3セキュリティ会社CertiKのXアカウントがハッキングされ、仮想通貨の流出を促す悪意のあるサイトに繋がるようになっていた(アカウントにはゴールドバッジ)
- 2023/01/06: Netgear と Hyundai MEA の公式Xアカウントがハッキングされ、ユーザを仮想通貨に関するマルウェアに感染する様に誘導していた(アカウントはNETGEARはバッジなし、Hyundai MEAはゴールドバッジ)
- 2023/01/09: 米国証券取引委員会のXアカウントがハッキングされ、証券取引所でのビットコイン ETF の承認に関する偽の発表が行われる(アカウントはグレーバッジ)。
攻撃に関する特徴と注意
- bleepingcomputerでも見解が述べられていますが、Mandiantに関してはアカウントにMFAで2要素認証が有効になっていたそうです。また、ゴールドバッジやグレーバッジなど、特定の条件を満たす(信頼性の高い)アカウントばかりが対象となっています。
- 実際、ダークウェブ上では信頼性の高いアカウントに関する取引が行われている、という話も有りますので、その影響かもしれません。しかしここ最近(特に今年に入ってから続けて)同じようなニュースが入ってきていますので、大きなキャンペーン等が行われている可能性も考えられます。
- Xアカウントを使っている企業に関しては、自社のアカウントが侵害されていないかを、頻度を挙げて確認したほうが良さそうです。特にMandiantの様に「MFAを設定していた」にも関わらず、侵害されているケースもあるため、しばらくは様子を見ておいたほうが良いと思われます。
Mandiantの調査結果
2024/01/11にMandiantが調査結果を公表しています。また、Twitterの方にも情報が流れてきています。
まず、「なぜ2FAを突破できたのか」という点はTwitterの方に書かれていました。
「通常は2FAでこれは緩和されるはずでしたが、チームの移行とX(旧Twitter)の2FAポリシーの変更により、十分に保護されませんでした。このようなことが二度と起こらないよう、プロセスを変更しました。」
との事です。「X(旧Twitter)の2FAポリシーの変更」という点が気になりますが、詳細は明らかにされていません。
また、Mandiantの調査によると、攻撃者はCLINKSINKと呼ばれるウォレットドレイナーを使用していたとの事です。ドレイナーとは「暗号通貨排出(Crypt Drainer)」スクリプトの事で、「DARKREADING」の記事によると「仮想通貨投資家をだましてウォレットの中身を引き出す新しい方法で、フィッシングページなどに被害者が接続すると、接続されたウォレットをクラッキングして残高を瞬時に盗む暗号通貨排出(Crypt Drainer)スクリプトが実行される」との事です。
Mandiantの調査によると、2023 年 12 月以降、多数の攻撃者が CLINKSINK ドレイナーを利用して、Solana (SOL) 暗号通貨ユーザーから資金とトークンを盗むキャンペーンを実施している様です。
調査結果はこちらに記載すると長くなりますので、原文を読むことをお薦めします。IoCと、検知するためのYARAルールが載っています。
米国証券取引委のXアカウント乗っ取りの原因(X発表)
また、X社からは「米国証券取引委員会のXアカウント乗っ取り」の原因が発表されました。
「侵害はXのシステムへの侵害によるものではなく、身元不明の個人が第三者を通じて@SECGovアカウントに関連付けられた電話番号の制御を取得したことによるものでした。また、アカウントが侵害された時点では、アカウントの2要素認証が有効になっていなかったことも確認しました。」
とのことでした。この説明のとおりだとすると、攻撃は
- SIMスワップ攻撃でアカウントに関連付けられた電話番号の制御を取得した
- アカウント侵害時点では2要素認証は有効になっていなかった
ために起こったと考えられます。
2024/01/23追記)米国証券取引委員会の件
こちらでリリースが出されていますが、SEC(米国証券取引委員会)もSIMスワッピングによりXアカウントが不正利用された事が明らかにされました。
日本のニュース等
参考情報
- Mandiant’s account on X hacked to push cryptocurrency scam
- MalwareHunterTeamのツイート
- MalwareHunterTeamのツイート2
- Web3 security firm CertiK’s X account hacked to push crypto drainer
- Netgear, Hyundai latest X accounts hacked to push crypto drainers
- US SEC’s X account hacked to announce fake Bitcoin ETF approval
- 米証券取引委のXアカウント ハッキングされ偽投稿で市場混乱(NHK)
- Google傘下の米Mandiant、自らのXアカウントを一時乗っ取られたと公表(日経XTech)
- Hundreds of Thousands of Dollars Worth of Solana Cryptocurrency Assets Stolen in Recent CLINKSINK Drainer Campaigns
- MandiantによるTweet
- X Safeのツイート(米国証券取引委員会に関して)
この記事があなたのお役に立てればうれしく思います。
最後までお読みいただき、ありがとうございます。
