2024年に入り、著名企業の「X」(旧Twitter)アカウントが暗号資産(仮想通貨)詐欺に悪用されるケースが目立ってきた。被害はセキュリティベンダーにも広がっている。
短文投稿サイト「X」(旧Twitter)の企業アカウントが、攻撃者に乗っ取られる動きが広がっている。記憶をたどると、攻撃者がTwitter社(当時)の従業員になりすまし、著名人のアカウントを乗っ取って暗号資産(仮想通貨)詐欺に悪用する事件が2020年に発生した。中には元米国大統領のバラク・オバマ氏のアカウントも含まれていた。2024年になり、その標的は人から企業に変わりつつある。
2024年1月3日(米国時間、以下同じ)、Google傘下のセキュリティベンダーMandiantのXアカウントが乗っ取られた。脅威情報サイト「vx-underground」が公開したスクリーンショットによると、攻撃者はMandiantのXアカウントを使ってデジタルウォレット(電子決済用ソフトウェア)ベンダーPhantom Technologiesになりすまし、「暗号資産をプレゼントする」という偽キャンペーンを展開した。
Mandiantは2024年1月4日、攻撃があったことを認めた。同日にアカウントが復旧したと説明する。攻撃の背景については、当初は「多要素認証(MFA)を使っているにもかかわらず侵入が成功した」と説明していた。しかし数日後、ブルートフォース(総当たり)攻撃を受けたと言い、その際「MFAの仕組みに問題があった」と情報を訂正した。
2024年1月は、ネットワーク機器ベンダーNETGEARと、自動車メーカーHyundai Motor Company(現代自動車)の中東アフリカ(MEA)支部も、Xアカウントの乗っ取りに見舞われた。
NETGEARのアカウントを乗っ取った攻撃者は、ビットコイン交換用トークン「BRC-20」を切り口としたフィッシング用リンクを送信。Hyundai Motor CompanyのMEA支部のアカウントも、同じくフィッシング用リンクの送信に悪用された。このケースでは、アカウントは「NFT」(非代替性トークン)ゲーム「Overworld」に偽装されていた。フィッシング用リンクをクリックすると、デジタルウォレット(電子決済用ソフトウェア)に接続し、暗号資産が盗み出される仕掛けだ。
後編は、Xアカウントが攻撃されたその他の事例を見るとともに、企業が注意すべき点を探る。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
35〜49歳の含有率が最も高いのは「mixi2」 ニールセン デジタルがソーシャルメディアの利用状況を発表
ニールセン デジタルはデジタルコンテンツ視聴率のレポートを基にソーシャルメディアの利...
TikTokのトレンドに変化 なぜ「1分超え」動画が見られている?
Bufferのデータによると、TikTokでは最近、長めの動画が人気を集めている。
アドビが「10種類のAIエージェント」を発表 顧客体験はどう変わる?
アドビの年次イベント「Adobe Summit 2025」が開催された。初日の基調講演では、アドビの...