ツイッターで2140万人のフォロワーを抱えるマライア・キャリーのアカウントが12月31日、チャックル・スクワッドに乗っ取られ、エミネムを攻撃するツイートを連発した。犯人らはマライアのアカウントから「エミネムのペニスは小さい」などの投稿を繰り返した。
ツイッターは間もなくこの攻撃を察知し、問題の投稿を削除したが、既に数千件ものいいねを集めたツイートもあり、リツイートされて拡散した。
さらに1月2日には、240万人のフォロワーを持つ俳優のアダム・サンドラーのアカウントが乗っ取られ、「マライア・キャリーとテレフォンセックスした」などの不適切な内容が投稿された。このケースでも、ツイッターは即座に問題を検知し、対応を行った。
今回のハッキングに用いられた手口の詳細は不明だが、チャックル・スクワッドはドーシーのアカウント乗っ取りの際に、「SIMスワップ」と呼ばれる手法を用いていた。SIMスワップとは通信キャリアのシステムを不正に操作し、攻撃対象の電話番号をハッカーが持つスマホのSIMカードに移転させる行為だ。
番号を入手したハッカーは、SMS経由でツイッターの認証コードを入手し、被害者のアカウントから、本人になりすましてツイートを投稿できる。チャックル・スクワッドは今回もこの手口を用いたものと思われる。
セキュリティ企業ESETのJake Mooreは「SIMスワップを用いたアカウント攻撃は、今後増加する見通しだ」と述べている。
「通信キャリアは、ソーシャルエンジニアリングなどの不正行為を通じた、番号の持ち出しに対する防御を高めるべきだ。利用者側も、SMS経由の認証コードの受け取りが、完璧なセキュリティではないことを認識すべきだ」とMooreは続けた。今後は、一般人をターゲットとしたSIMスワップ攻撃により、さらに深刻なハッキング被害が発生することも予想される。
「SIMスワップ攻撃を避けるために有効なツールの一つが、『Google 認証システム』のような2段階認証コードを生成するアプリだ。Google 認証システムはツイッターなどの主要なSNSの全てで利用可能で、非常に強固なセキュリティを実現できる」と、Mooreは述べた。
