水曜日に発生した、世界的に影響力のあるTwitterアカウントから発信されたビットコインの不正送金を狙った詐欺は、その規模の大きさから世界中で大きな話題を集めている。NY Times紙のインタビューによって、サイバー攻撃者はTwitter社のSlackを利用して内部システムにアクセスしていた可能性が出てきた。

■大規模不正ID利用の概要

　2020年7月15日、イーロン・マスク氏やビル・ゲイツ氏といった、世界的に影響力のあるTwitterアカウントから、ビットコインの送金を促す詐欺メッセージが投稿された。Twitter社は同日この一連の投稿が不正アクセスによるものだと判断し被害にあったと推測されるアカウントの利用停止措置を実施した。

　Twitter公式ブログの調査内容から判明している事実は以下のとおり。

　サイバー攻撃の方法:Twitter社を標的としたソーシャルエンジニアリング攻撃によって、少数のTwitter従業員を操作することに成功したと推測。その従業員達の資格情報を使ってTwitterの内部システムにアクセスが行われた。

　不正アクセスの被害にあったアカウント数:130アカウント。一部のアカウントにはアカウントを売買されていた形跡が確認されている。

　不正にパスワードリセットが行われたアカウント:45アカウント

　サイバー攻撃者が閲覧可能であったデータ:アカウント所有者のメールアドレスや電話番号などの個人情報

　サイバー攻撃者が閲覧した可能性のあるデータ:45アカウントにてパスワードリセットが実行されており、サイバー攻撃者がパスワードをリセットし、そのアカウントの所有者になりすましてログインしていた場合には、DM等にもアクセス出来ていた可能性がある。更に8アカウントについては"Your Twitter Data"というTwitter公式ツールを利用し過去の投稿データ等を参照していた可能性がある。

■NY Times紙、大規模不正ID利用に関与したという四人のインタビューを掲載

　2020年7月17日、NY Times紙がTwitterの大規模不正ID利用に関与したという四人のインタビューを掲載した。これによると、攻撃はOGusers.comというSNSのアカウント売買サイトに集うハッカーグループにまで遡ることができるという。Gusers.comの2人の著名なユーザーである、"lol "と "every so anxious "は、7月14日に"Kirk(カーク) "と名乗る人物と接触し、Twitterのアカウント売買の話を提案されていた。

　そして、"lol "はTwitterのユーザー名@yのために、ビットコインで$1,500を支払っても構わないと考えている人のために取引を仲介した。この取引に利用されたビットコインのウォレットが、水曜日に大規模不正ID被害にあったアカウントが利用したものと同じものだったという。

　また、"PlugWalkJoe"というハッカーも"evever so anxious"を通じてTwitterアカウント@6の取得していたが、"PlugWalkJoe"によれば、「他のハッカーから聞いた話だが、カークはTwitterの社内Slackメッセージングチャンネルに侵入し、そこに投稿された情報を見て、会社のサーバーにアクセスできるサービスを利用して、Twitterの資格情報にアクセスしていた」という。

■内部犯行か?それとも共犯者が居たか?あるいはカークの単独行動か?

　本攻撃はTwitter社によって現在調査中であり、NY Times紙に掲載されたインタビューが事実であるとのコメントはTwitter社からはコメントされていない。しかしながら、Twitter社の調査内容に「一部のアカウントでは売買されていた形跡がある」という記述がある点と、NY Times紙の内容は一致しており、かつ、NY Times紙の記事はTwitter社の公式ブログより先に掲載されていた点を考慮すると、NY Times紙のインタビュー記事にはある程度信憑性があるものと推測される。

　そして、NY Times紙の記事に信憑性があるとした場合に、重要な点はカークと名乗る人物が「Twitterの社内Slackメッセージングチャネルに侵入し、会社のサーバにアクセスしていた」という点だ。

　Twitter社の調査レポートでは、ソーシャルエンジニアリング攻撃によってTwitter社員のみがアクセス可能な管理ツールが悪用されたことは判明しているが、「なぜ利用出来たのか?」という点は解明されておらず、内部犯行の可能性や、内部に協力者が居た可能性もゼロではない。そして、Slackの脆弱性を利用し「カークが単独で」行った可能性も、ゼロではない。

■Slack Incoming Webhooksを利用した脆弱性の存在

　Slackはコミュニケーションプラットフォームであり、様々なアプリと連携出来る点から、エンジニアに好んで利用されている。この様々なアプリ連携に利用されるのが、Incoming Webhooksと呼ばれは機能だが、これを使用すると、各アプリケーションからSlackにメッセージを投稿できる。

　非常に便利な機能ではあるが、Webhooksを第三者に知られるとそのWebhooksに割り当てられたSlackチャネルにアクセス可能になるという脆弱性が存在することが、AT&T CyberSecurityのセキュリティ研究者によって指摘されている。

　本来このWebhooksはユニークなものであり、秘密にしなければならないものだが、AT&T CyberSecurityによれば、Github上に130,989件公開されていたという。

　現時点では、サイバー攻撃者の侵入手口は調査中のため、推測の域を出ないが、もし、カークがSlackからTwitter社への侵入していたとするならば、ソーシャルエンジニアリング攻撃によって、Twitter社社員のSlackIDを盗難したか、あるいはWebhooksを入手し、Twitter社のSlackに侵入した可能性はないだろうか?

　Twitter社は現在FBI等とも連携し、不正アクセス被害の全容解明と対策を進めている。なお、Twitter社は過去にも同社の社員がサウジアラビアに懐柔され、サウジ政府に批判的なユーザーのアカウントを密かに調査していたとの疑いを持ちかけられ、疑いのあった社員を解雇したという過去がある。