テクノロジー

2020.01.07 11:00

マライアのツイッターを襲った「SIMスワップ」攻撃の脅威

マライア・キャリー(Photo by NBC / Getty Images)

マライア・キャリー(Photo by NBC / Getty Images)

2019年8月、ツイッターCEOのジャック・ドーシーのツイッターアカウントが何者かに乗っ取られ、人種差別的なツイートが投稿される事件が発生したが、この事件の首謀者とされるChukle Squad(チャックル・スクワッド)と呼ばれるハッカー集団が再び、同様な事件を起こした模様だ。
advertisement

ツイッターで2140万人のフォロワーを抱えるマライア・キャリーのアカウントが12月31日、チャックル・スクワッドに乗っ取られ、エミネムを攻撃するツイートを連発した。犯人らはマライアのアカウントから「エミネムのペニスは小さい」などの投稿を繰り返した。

ツイッターは間もなくこの攻撃を察知し、問題の投稿を削除したが、既に数千件ものいいねを集めたツイートもあり、リツイートされて拡散した。

さらに1月2日には、240万人のフォロワーを持つ俳優のアダム・サンドラーのアカウントが乗っ取られ、「マライア・キャリーとテレフォンセックスした」などの不適切な内容が投稿された。このケースでも、ツイッターは即座に問題を検知し、対応を行った。
advertisement

今回のハッキングに用いられた手口の詳細は不明だが、チャックル・スクワッドはドーシーのアカウント乗っ取りの際に、「SIMスワップ」と呼ばれる手法を用いていた。SIMスワップとは通信キャリアのシステムを不正に操作し、攻撃対象の電話番号をハッカーが持つスマホのSIMカードに移転させる行為だ。

番号を入手したハッカーは、SMS経由でツイッターの認証コードを入手し、被害者のアカウントから、本人になりすましてツイートを投稿できる。チャックル・スクワッドは今回もこの手口を用いたものと思われる。

セキュリティ企業ESETのJake Mooreは「SIMスワップを用いたアカウント攻撃は、今後増加する見通しだ」と述べている。

「通信キャリアは、ソーシャルエンジニアリングなどの不正行為を通じた、番号の持ち出しに対する防御を高めるべきだ。利用者側も、SMS経由の認証コードの受け取りが、完璧なセキュリティではないことを認識すべきだ」とMooreは続けた。今後は、一般人をターゲットとしたSIMスワップ攻撃により、さらに深刻なハッキング被害が発生することも予想される。

「SIMスワップ攻撃を避けるために有効なツールの一つが、『Google 認証システム』のような2段階認証コードを生成するアプリだ。Google 認証システムはツイッターなどの主要なSNSの全てで利用可能で、非常に強固なセキュリティを実現できる」と、Mooreは述べた。

編集=上田裕資

advertisement

ForbesBrandVoice

人気記事