セキュリティ事案に関する最新情報

最終更新日：2020年7月30日午後5時45分（米国時間）「現時点で判明している情報」および「サービスを保護するための措置」の項目を追加しました。

-------------------------------------------------------------------------------------------------

2020年7月30日

Twitterは本事案の調査を進める中で最新情報を共有し、現時点で判明している事実に基づき、皆さんのご質問にお答えしています。現在進行中の法執行機関による調査を考慮し、社内におけるサービス保護の強化作業を完了後、本事案について解説する詳細なテクニカルレポートを後日発表予定です。

現時点で判明している情報

2020年7月15日に発生したソーシャルエンジニアリングでは、攻撃者が少数のTwitter社員を標的に、電話を介したスピアフィッシング攻撃を仕掛けました。この攻撃を成功させるため、攻撃者は社内ネットワークにアクセスするだけでなく、内部サポートツールへのアクセス権限を有する特定の社員の認証情報も獲得する必要がありました。当初の標的となった社員全員がアカウント管理ツールへのアクセス権限を有していたわけではありませんが、攻撃者は彼らの認証情報を使用して内部システムにアクセスし、Twitterのプロセスに関する情報を入手しました。そして、この情報を利用して、アカウントサポートツールへのアクセス権限を持つ社員を新たに標的にすることに成功しました。攻撃者は、これらのツールへのアクセス権限を有する社員の認証情報を使用して、130のTwitterアカウントを標的としました。最終的に、そのうち45のアカウントからツイートを送信したほか、36のアカウントではダイレクトメッセージ（DM）の受信箱にアクセスし、7つのアカウントでは「Twitterデータ」をダウンロードしたことが判明しています。

本事案の発生後、Twitterのツールや社員のアクセス権限レベルに対する懸念が高まっています。Twitterでは業務を遂行するため、世界各地にチームを配置してアカウントのサポートに努めてきました。各チームはTwitter独自のツールを用いて、サポートに関する様々な問題に対処したり、「Twitterルール」に沿ってツイートの内容を確認し違反の報告に対応したりしています。これらのツールへのアクセスは厳しく制限されており、正当な業務上の理由がある場合にのみ許可されています。Twitterは認証情報やツールの不正使用を固く禁じており、不正使用を積極的に監視するとともにアクセス権限について定期的に監査を行い、正当な業務上の理由なくアカウント情報にアクセスしたケースが判明した場合は直ちに対処措置を講じています。Twitterではこれらのツール、制御機能、およびプロセスを常に更新し、改善を施していますが、現在ではそれらをさらに高度化する方法を綿密に検討中です。

今回の攻撃は、特定の社員を騙して人間の弱みにつけ込み、内部システムにアクセスするという極めて深刻かつ高度に組織化されたものでした。同時に、Twitterのサービスを保護するために、チームの一人ひとりが担う責任の重さを痛感させられる事案でした。私たちはその責任を真摯に受け止め、皆さんの情報を安全に守るために全社をあげて尽力していく構えです。

Twitterは、今回の事案の被害を受けたアカウント所有者と直接連絡を取り合っています。また、Twitterが修復措置を講じる過程で一時的にロックされていたアカウントについても、アクセスの復旧に努めました。本事案の調査は進行中であり、私たちは攻撃者を必ず特定するため当局に協力しています。

サービスを保護するための措置

本事案の発生後、Twitterは調査を完了するまで、内部ツールやシステムへのアクセスを大幅に制限してアカウントのセキュリティ確保に努めています。その結果、一部の機能（「Twitterデータ」のダウンロード機能へのアクセス）やプロセスに影響が生じており、アカウントサポートに対するリクエストや違反の報告、開発者プラットフォームのアプリケーションへの対応が遅くなることが見込まれます。これにより、多大なご迷惑をおかけすることを心よりお詫びいたします。ただ、本事案を踏まえて講じる措置は、Twitterのプロセスやツールをより頑強で耐久性に富むものとするため、に不可欠な予防措置であると私たちは考えます。そして、安全を確信できた時点で、再び通常時のレスポンスタイムへと徐々に移行していく予定です。大変申し訳ありませんが、今しばらくご辛抱いただきますよう、よろしくお願いいたします。

Twitterは日頃よりセキュリティプロトコル、技術、およびメカニズムの強化に投資を行うことで、進化する脅威に先んじた対応に努めてきました。今後は既存のセキュリティに関するワークストリームの加速を図るとともに、ツールの改善措置を一段と推進していきます。さらに、内部システムへの不正アクセスを検知して未然に防ぐ方法を改善中であるほか、多くのチームでもセキュリティ業務を優先事項として扱っています。加えて、年間を通して実施中のフィッシング対策訓練に全社をあげて引き続き取り組んでいく意向です。Twitterは、今回のケースが業界にとっても学びの機会となるよう、今後も本事案に関する最新情報と予防措置を共有していきます。また、皆さんからお寄せいただく信頼にしっかりとお応えできるよう、今回のようなセキュリティ事案が発生した場合はいつでもオープンかつ誠実そして迅速に、最新情報の提供に努めてまいります。

-------------------------------------------------------------------------------------------------

これまで@TwitterSupportでご報告した通り、2020年7月15日水曜日にTwitterのセキュリティ事案が検知され、私たちは直ちにこの問題に対処しました。ここでは、7月18日時点（米国時間）の概要をご報告します。

本ブログは、太平洋時間7月17日午後8時35分現在の状況をまとめたものであり、Twitterの調査や外部調査が継続する過程で変更される可能性があります。また、事案の調査は進行中であることから、修復措置をはじめとする一部詳細についてはセキュリティ保護のため現時点で公表することができません。今後、Twitterは可能な限り詳細情報を提供し、Twitterコミュニティと社員が今回の事案を学びの機会に変えられるよう真摯に取り組んでいきます。

事案の経緯と内容

現時点では、攻撃者がソーシャルエンジニアリングのスキームを通じて特定のTwitter社員を標的にしたとみられています。ここでいうソーシャルエンジニアリングとは、人々を意図的に操作して特定の行動を実行させたり、機密情報を漏洩させたりすることを指します。

攻撃者は少数の社員を操作することに成功し、彼らの認証情報を獲得しました。そして、2段階認証を突破してTwitterの内部システムにアクセスしました。現時点では、攻撃者が社内サポートチームのみ利用できるツールにアクセスし、130のTwitterアカウントを攻撃の標的としたことがわかっています。そのうち45のアカウントで攻撃者はパスワードリセットを実行してアカウントにログインし、ツイートを送信しました。Twitterでは、すべてのアカウントについてフォレンジック調査（犯罪捜査における鑑識と分析に相当）を継続しており、実行された可能性のあるすべてのアクションを確認中です。さらに、攻撃者は一部のハンドル名の販売を試みた可能性があります。

攻撃者は、標的としたTwitterアカウントのうち最大8つのアカウントについて、「Twitterデータ」のダウンロードツールを用いてアカウント履歴等を入手しました。このツールを使うと、アカウント所有者は自分のTwitterアカウントの詳細やアクティビティの概要を閲覧することが可能です。当該攻撃の対象となったと判明したアカウント所有者には、Twitterから直接連絡しています。ただし、8つのアカウントはいずれも認証済みのアカウントではありませんでした。

Twitterが講じた措置

Twitterでは7月15日（水）に攻撃者による攻撃を検知後、直ちに被害を受けたアカウントをロックし、制御を取り戻すための措置を講じました。事案対応チームは、攻撃者がTwitterのシステムや個々のアカウントにこれ以上アクセスすることを防ぐため、内部システムのセキュリティを確保し、不正アクセスを無効化しました。先に述べた通り、Twitterは修復措置の有効性を守るため、現時点ではその詳細についての公表を意図的に制限しています。

今後、可能であれば、より詳細な技術情報を提供する予定です。こうした内部での取り組みに加えて、私たちは状況を把握すると直ちに、新たなツイート送信やパスワード変更の阻止など各種機能を制限する予防措置を、多くのTwitterアカウントを対象に講じました。これは、攻撃者によるさらなる不正行為を防ぐとともに、事案調査中により多くのアカウントが乗っ取られるのを防ぐことが目的でした。また、慎重を期して、パスワードが最近変更されたアカウントもロックしました。その後、7月15日（水）の深夜には多くのアカウントでツイート機能を復旧させることに成功しました。本日の時点で、ロックされていたアカウントの大半が所有者によるパスワード変更を条件に復旧可能となっています。

私たちは今回の事案について法執行機関と協力しながら調査を続けるとともに、システムのセキュリティ改善に向けて長期的な措置を策定中です。社内では複数のチームが24時間体制でこの問題に取り組んでおり、Twitterを利用する皆さんの安全を守り、適切な情報を提供できるよう努めています。

攻撃者がアクセスした情報

Twitterを利用する人々が抱える疑問の中でも、自分の個人情報が攻撃者に漏洩したか否かが最も重大な問題でしょう。大多数利用者に関して、その答えは「いいえ」だと私たちは考えています。攻撃の標的となった130のアカウントについて、現時点で判明していることは次のとおりです。

• 攻撃者は、以前のアカウントのパスワードを入手することができませんでした。以前のアカウントのパスワードは平文で保存されていない上、攻撃に使用されたツールを通じて入手することもできません。
• 攻撃者はメールアドレスや電話番号などの個人情報を閲覧することができました。これらの情報は社内サポートツールの一部利用者に表示されるものです。
• アカウントが攻撃者に乗っ取られた場合、メールアドレスと電話番号以外の情報も閲覧できた可能性があります。そうしたアクティビティについてのフォレンジック調査は現在も進行中です。
• 攻撃者は攻撃対象とした130のアカウントのうち、オランダの議員1名を含む最大36のアカウントについて、ダイレクトメッセージ（DM）の受信箱にアクセスしたと考えられます。現在までのところ、その他の元・現職の選出議員のDM受信箱にアクセスした形跡はありません。 [2020年7月22日追記]Twitterは今回の事案の被害を受けたアカウント所有者と、積極的に直接連絡を取り合っています。

今後の措置と対策

週末（2020年7月18日現在）と来週に向けて、Twitterは次の主な目標に焦点を当てています。

1. Twitterが講じた修復措置の結果、ロックされたままの可能性があるすべてのアカウントについて、所有者のアクセスを復旧させる。
2. 事案調査を続行し、法執行機関との協力を継続する。
3. 将来の攻撃を予防するため、システムの安全性をさらに強化する。
4. ソーシャルエンジニアリングの手口に対抗するための全社研修を新たに導入し、オンボーディング研修および年間を通して実施しているフィッシング対策訓練を補完する。

こうしたすべての措置を講じることで、私たちはTwitterのサービスを必要不可欠とする利用者との信頼関係を再構築すべく、長きにわたる取り組みに乗り出します。

Twitterは、サービスをご利用いただいている利用者に対する責任はもちろん、社会全体に対する責任を痛感しています。私たちは今回の事案を恥じるとともに、自らに失望し、そして何よりも深く反省しています。皆さんの信頼を取り戻すには真摯な努力が必要なのは当然であり、Twitterは攻撃者の責任を追及するためのあらゆる取り組みをサポートしていきます。そのプロセスにおけるTwitterの一貫した開示性と透明性が、そして将来の攻撃に対する予防措置と取り組みが、今回の事案への正しい対処の第一歩となることを願って止みません。

今後も調査を続ける中、@TwitterSupportで本事案の最新情報をお伝えしていきます。