2020年7月16日、Twitter へのサイバー攻撃が原因で複数の著名人の Twitter アカウントが乗っ取られ、詐欺に利用された。

• Appleやイーロン・マスクなどTwitterの企業・有名人アカウントが一斉にハッキングされる – GIGAZINE (2020年7月16日)
• Twitterのセレブアカウントハック、「高権限従業員標的のソーシャルエンジニアリング攻撃」の可能性 – ITmedia NEWS (2020年7月16日)

乗っ取られたアカウントには、テスラやSpaceXの創業者のイーロン・マスク氏、マイクロソフト創業者のビル・ゲイツ氏、Apple、Uber、バラク・オバマ前アメリカ大統領、Amazonのジェフ・ベゾスCEO、民主党のアメリカ大統領候補のジョー・バイデン氏、ミュージシャンのカニエ・ウェスト氏、元ニューヨーク市長のマイケル・ブルームバーグ氏など著名人が多数含まれた。

同社は、「内部システムとツールへのアクセス権限を持つ従業員の一部を標的とした組織的なソーシャルエンジニアリング攻撃」らしいものを検出したと説明した。 Twitterのセレブアカウントハック、「高権限従業員標的のソーシャルエンジニアリング攻撃」の可能性 – ITmedia NEWS (2020年7月16日)

複数のアカウントが一斉に乗っ取られたことからも推測できる通り、アカウントが個別に乗っ取られた訳ではない。2020年7月16日までに Twitter 社の発表やその他報道でわかる限りでは、Twitter 社の管理者権限が何らかの形で不正に利用されたとされている。Twitter 社は「ソーシャルエンジニアリング攻撃」の可能性を示している。

過去には、Twitter CEOのジャック・ドーシー氏の Twitter アカウントが乗っ取られたこともあったが、これは SIM スワッピングが原因で Twitter に全面的な非があった訳ではない。

2019年8月には、TwitterのCEOであるジャック・ドーシー氏のアカウントから差別的なツイートが連発される事件が発生しましたが、この時、ドーシー氏のアカウントを乗っ取るのに使われた手口が「SIMスワッピング」だと推測されています。 TwitterのCEOのアカウント乗っ取りにも使われた「SIMスワッピング」の脅威を警察当局が警告 – GIGAZINE (2019年11月11日)

しかし、今回の乗っ取りはほぼ完全に Twitter 社に非があるといわざるを得ない。管理者権限の悪用でここまで広範にアカウントが乗っ取られる事態はかなり稀だろうし、管理者権限の悪用ではユーザーがいくら強固なパスワードや2要素認証を使ったところで対処できない。現に、2段階認証と強力なパスワードで運用されていたアカウントですら乗っ取られた。（ただし、だからといって2要素認証や強力なパスワードを設定しても意味がないという訳ではない。通常の状況では2要素認証と強力なパスワードは非常に有用なセキュリティ対策なので継続する必要がある。）

なお、ハッキング被害にあったTwitterアカウントを運用していたCameron Winklevoss氏は、「主要な仮想通貨の公式Twitterアカウントはすべてハッキングされています。2段階認証と強力なパスワードで運用されていた@Geminiでも同様にアカウントをハッキングされました。現在ハッキング被害について調査中です。間もなく詳細情報をお知らせします」とツイートしており、2段階認証と強力なパスワードでアカウントが保護されていたことも明らかになっています。 Appleやイーロン・マスクなどTwitterの企業・有名人アカウントが一斉にハッキングされる – GIGAZINE (2020年7月16日)

Twitter 社には今後、管理者権限の悪用を防ぐ社内プロセスの確立が求められるだろう。

#Incident

新型コロナウイルス(COVID-19)の流行により、外出を避ける動きからビデオ会議アプリ「ZOOM」の利用者が急速に増加しているが、ここ数週間の内にいくつかのプライバシー・セキュリティ上の懸念が持ち上がっている。「ZOOM」は2019年にもMac版でローカルウェブサーバーに関連するセキュリティ問題を発生させていて、安全上の懸念が出てきている。

ここ数週間で発見された問題は、以下の通り。

• ユーザーの端末情報などをFacebookに送信しているという問題 (2)
  • 修正済み
• Mac版ではビデオの送受信がエンドツーエンドで暗号化されておらず、第三者による傍受が可能な問題 (2)
  • ZOOM社は誤って表記していたとしている
• 特定環境でユーザーの写真やメールアドレスが他人の連絡先に自動的に追加される問題 (2)
• Windows版で、ログイン情報を盗まれる恐れのある脆弱性 (3)
  • 4月2日時点でZOOMによるコメントなし
• 第三者が勝手にビデオ会議に乱入し荒らし行為を行う通称「ZOOM爆撃(Zoombombing)」問題 (5)
  • 対策として「待機室」機能を追加、しかしCitizen Labによるとこの機能にも脆弱性が確認されている
• 北米のWeb会議の暗号キーを誤って中国データセンター経由にした問題 (6)
  • 「ジオフェンシング」を誤って設定し忘れたとし、修正したとしている
• 暗号化に使用しているAESの鍵長(鍵の長さ)が128ビットと危険ではないが、他の多くの企業よりも安全でない点 (7)
  • Zoom 5.0アップデートでAES-GCM (256ビット) をサポート予定 (8)
• 暗号化に使用しているAESで、暗号化メカニズムECBを使用しているが、この暗号化メカニズムには一定のパターンが存在する点 (7)
  • Zoom 5.0アップデートでAES-GCM (256ビット) をサポート予定 (8)

また、一部の団体や組織では「ZOOM」の使用を禁止する動きも出てきている。

“米宇宙ベンチャー「スペースＸ」は、従業員に対し、ビデオ会議サービスの米ズーム・ビデオ・コミュニケーションズ(ZM.O)が提供するアプリ「ズーム」の使用を禁じたことがわかった。「プライバシーとセキュリティー保護に関する重大な懸念」が理由としている。 “

出典： スペースＸ、ビデオ会議アプリ「ズーム」を禁止　安全性懸念で (ロイター通信、2020年4月2日)

台湾なんかはさっそく、政府によるZoom使用を禁止する議会命令を発表しました。その翌日にはドイツやアメリカ上院も同じような措置をとっています。

出典： アメリカ政府に｢国家安全保障の脅威｣に認定されそうなZoomが汚名返上に必死すぎる (GIZMODO、2020年4月17日)

特定のサービスが絶対に安全ということはないが、筆者はビデオ会議には以下のような、オープンソースで比較的安全性の高いサービスを利用することを推奨する。

• Signal (詳細) – メッセンジャーアプリ、1対1通話のみ可能、エンドツーエンド暗号化される。
• Riot – メッセンジャーアプリ、複数人通話可能、登録に電話番号・メールアドレス不要、エンドツーエンド暗号化を選択可能。
• Jitsi Meet (meet.jit.si) – ビデオ会議サービス、登録不要。
• Jitsi Meet (calls.disroot.org) – ビデオ会議サービス、登録不要。

出典

1. スペースＸ、ビデオ会議アプリ「ズーム」を禁止　安全性懸念で (ロイター通信、2020年4月2日)
2. テレワークでニーズ急増も……オンライン会議ツール「Zoom」でプライバシー問題が続出 (INTERNET Watch、2020年4月2日)
3. ZoomのWindows版にユーザーログイン情報窃盗に繋がる脆弱性 (ITmedia NEWS、2020年4月2日)
4. ヴィデオ会議「Zoom」のウェブカメラ利用に脆弱性、その対応を巡る方針転換の理由 (WIRED、2019年7月11日)
5. Zoom、パスワード強化と「待機室」追加　“Zoombombing”対策で (ITmedia NEWS、2020年4月5日)
6. Zoom、北米のWeb会議の暗号キーを誤って中国データセンター経由にした問題について説明 (ITmedia NEWS、2020年4月5日)
7. オンラインビデオ会議アプリ「Zoom」の暗号化キーの一部が「中国のサーバー」から発行されていると判明、「待機室」機能にも脆弱性アリ (Gigazine、2020年4月6日)
8. Zoom 5.0アップデートでAES 256-bit GCM暗号化など多数の改善 (ITmedia NEWS、2020年4月23日)

#PRIVACY #COVID19 #Incident