SECがMFA無効化がXアカウントハッキングのゲニンと認める
SEC(米国証券取引委員会)は最近、公式X(旧Twitter)アカウントへのハッキング、の理由として、二要素認証(Two-Factor Authentication:MFA)がなかったことが原因であると認めたことが明らかになった。
このセキュリティ障害は2024年1月9日(金曜日)に発生し、無許可の組織が@SECGovハンドルをコントロールし、SECが史上初のスポット型ビットコイン上場投資信託を承認したことを誤って発表した。この虚偽のツイートの後、仮想通貨市場は直ちに大きな価格変動を目の当たりにしており、ビットコインの価値は48,000ドル近くまで高騰したが、SECがビットコインETFの承認に反論すると、46,000ドル以下に急落している。
調査の結果、この不正アクセスはSIMスワップによって促進され、被害者の電話番号が不正に別のデバイスに転送されたことが判明しており、これにより、犯人はSMSメッセージや通話を傍受し、最終的に口座のパスワードをリセットできたという。このSIMスワップとは、攻撃者が電話番号を新しいデバイスに再割り当てさせることで電話番号をコントロールする手法であり、攻撃者がどのように電話番号を入手したかが問われている。
SECアカウントにMFAがなかったことが悪化の原因
この問題をさらに悪化させたのは、SECアカウントにMFAがなかったことであり、この重要なセキュリティ機能は、アクセスが困難なため2023年7月以降無効になっていた。
Xのオーナーであり、長年にわたってSECを批判してきたイーロン・マスク(Elon Musk)氏はこの事件に対し、嘲笑の反応を示した一方で、Xは自社のシステム侵害を否定。実際、SECは他のシステム、データ、デバイスの侵害を示す証拠がないことを確認しており、この情報漏えいは通信事業者だけにとどまり、複数の法執行機関や連邦政府機関を巻き込んだ包括的な捜査が実施されることになった。
事件後にはすべてのアカウントのMFAを再開したSEC
事件後、SECはすべてのソーシャルメディアアカウントのMFAを再開している。
この動きは、デジタルセキュリティリスクに対する意識の高まりと、特に影響力のある政府機関にとって、機密情報を保護するための強固な保護措置の必要性を反映。さらに、FBI(連邦捜査局)やDHS(国土安全保障省)を含む複数の法執行機関や連邦機関が、この侵害を調査。彼らは、攻撃者がどのように通信キャリアを説得してSIMスワップを実行させたのか、また、SECのアカウントにリンクされた特定の電話番号をどのように知ったのかを明らかにすることを目指しているとのこと。
一方で、事件の翌日にあたる1月10(土曜日)にSECは、複数のビットコインETFのスポット申請を正式に承認し、そのほとんどが11日に取引を開始。仮想通貨市場に大きな影響を及ぼした。