SNSアカウント乗っ取りと「X」の方針、その切っても切れない関係：相次ぐ「X企業アカウント」の乗っ取り【後編】

暗号資産（仮想通貨）詐欺を目的に、企業の「X」（旧Twitter）アカウントが乗っ取られる攻撃が活発化している。その原因と注意点に関して、セキュリティ専門家は“ある説”を立てている。

[Alexander Culafi，TechTarget]

　2024年1月から、短文投稿サイト「X」（旧Twitter）の企業アカウントが乗っ取られ、暗号資産（仮想通貨）詐欺に悪用される動きが広がっている。ITベンダーに自動車メーカー、政府機関と、著名な組織の被害報告が後を絶たない。企業は何に注意する必要があるのか。

やはりXのあれが原因なのか？　セキュリティ専門家が指摘する問題

併せて読みたいお薦め記事

連載：相次ぐ「X企業アカウント」の乗っ取り

• 前編：Google系ベンダーも“わな”に落ちた「Xアカウント乗っ取り」の実態

「アカウント乗っ取り」を防ぐには

• クラウドサービスの「アカウント乗っ取り」はこうして起こる
• クラウドサービスの「アカウント乗っ取り」から身を守る3大対策とは？

　2024年1月は、Google傘下のセキュリティベンダーMandiantや、ネットワーク機器ベンダーNETGEAR、自動車メーカーHyundai Motor Company（現代自動車）の中東アフリカ（MEA）支部などのアカウントが乗っ取られた。

　セキュリティベンダーCERTIFIED KERNEL TECH（CertiKの名称で事業展開）も、Xアカウントを2024年1月に乗っ取られた組織の一つだ。同社によると、メディア企業Forbesの編集者のXアカウントから取材の申し込みがあり、スケジュール管理ツール「Calendly」に見せ掛けていた偽の予定設定リンクをクリックしたところ、アカウントが乗っ取られた。Forbes編集者のアカウントも悪用されていたと考えられる。CertiKのアカウントはその後、暗号資産詐欺に悪用されたという。

　同時期、米証券取引委員会（SEC：Securities and Exchange Commission）もXアカウントの乗っ取りに見舞われた。2024年1月9日（米国時間）、攻撃者はSECのアカウントを使い、SECがビットコインの現物上場投資信託（ETF）を承認したと投稿した。その数分後、SECのゲイリー・ゲンスラー委員長が同氏個人のXアカウントで、攻撃を受けたと述べ、「SECはビットコインのETFを承認していないと強調した。攻撃当時、SECのアカウントは多要素認証（MFA）が有効になっていなかったとみられる。

　セキュリティベンダーSophos脅威インテリジェンス担当部長のクリストファー・バッド氏は、「Xでは2023年に約8割の従業員が解雇されたという情報があり、それがX運用の安定性や安全性に悪影響を与えている可能性がある」と指摘する。Xアカウントを利用している企業はXの現状を確認し、セキュリティリスクを再評価する必要があると同氏は指摘する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。