2024年に入り、著名企業の「X」(旧Twitter)アカウントが暗号資産(仮想通貨)詐欺に悪用されるケースが目立ってきた。被害はセキュリティベンダーにも広がっている。
短文投稿サイト「X」(旧Twitter)の企業アカウントが、攻撃者に乗っ取られる動きが広がっている。記憶をたどると、攻撃者がTwitter社(当時)の従業員になりすまし、著名人のアカウントを乗っ取って暗号資産(仮想通貨)詐欺に悪用する事件が2020年に発生した。中には元米国大統領のバラク・オバマ氏のアカウントも含まれていた。2024年になり、その標的は人から企業に変わりつつある。
2024年1月3日(米国時間、以下同じ)、Google傘下のセキュリティベンダーMandiantのXアカウントが乗っ取られた。脅威情報サイト「vx-underground」が公開したスクリーンショットによると、攻撃者はMandiantのXアカウントを使ってデジタルウォレット(電子決済用ソフトウェア)ベンダーPhantom Technologiesになりすまし、「暗号資産をプレゼントする」という偽キャンペーンを展開した。
Mandiantは2024年1月4日、攻撃があったことを認めた。同日にアカウントが復旧したと説明する。攻撃の背景については、当初は「多要素認証(MFA)を使っているにもかかわらず侵入が成功した」と説明していた。しかし数日後、ブルートフォース(総当たり)攻撃を受けたと言い、その際「MFAの仕組みに問題があった」と情報を訂正した。
2024年1月は、ネットワーク機器ベンダーNETGEARと、自動車メーカーHyundai Motor Company(現代自動車)の中東アフリカ(MEA)支部も、Xアカウントの乗っ取りに見舞われた。
NETGEARのアカウントを乗っ取った攻撃者は、ビットコイン交換用トークン「BRC-20」を切り口としたフィッシング用リンクを送信。Hyundai Motor CompanyのMEA支部のアカウントも、同じくフィッシング用リンクの送信に悪用された。このケースでは、アカウントは「NFT」(非代替性トークン)ゲーム「Overworld」に偽装されていた。フィッシング用リンクをクリックすると、デジタルウォレット(電子決済用ソフトウェア)に接続し、暗号資産が盗み出される仕掛けだ。
後編は、Xアカウントが攻撃されたその他の事例を見るとともに、企業が注意すべき点を探る。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
高齢男性はレジ待ちが苦手、女性は待たないためにアプリを活用――アイリッジ調査
実店舗を持つ企業が「アプリでどのようなユーザー体験を提供すべきか」を考えるヒントが...
IASがブランドセーフティーの計測を拡張 誤報に関するレポートを追加
IASは、ブランドセーフティーと適合性の計測ソリューションを拡張し、誤報とともに広告が...
【Googleが公式見解を発表】中古ドメインを絶対に使ってはいけない理由とは?
Googleが中古ドメインの不正利用を禁止を公式に発表しました。その理由や今後の対応につ...