米国時間7月15日に、約130件のTwitterアカウントが乗っ取られた。これにはイーロン・マスク氏やジョー・バイデン氏といった著名人のアカウント、およびウーバー(Uber)やAppleの公式アカウントが含まれ、その多くが暗号通貨による送金を促す詐欺ツイートの発信に利用された。ここに学ぶ教訓は多い。
先ごろTwitterを襲った大規模なハッキング事件を教訓として、企業は自社のソーシャルメディアアカウントや、それにアクセスする人々の安全性チェックを徹底するべきだと、ソーシャルメディアやセキュリティの専門家は警告している。
米国時間7月15日に、約130件のTwitterアカウントが乗っ取られた。これにはイーロン・マスク氏やジョー・バイデン氏といった著名人のアカウント、およびウーバー(Uber)やAppleの公式アカウントが含まれ、その多くが暗号通貨による送金を促す詐欺ツイートの発信に利用された。
Twitterは、今回の事件について、まだ調査中としながらも、これは社内の管理者ツールへのアクセスを得るために、一部従業員を狙って行われた「組織的なソーシャルエンジニアリング攻撃」によるものだとの考えを示している。攻撃者が乗っ取ったアカウントのプライベートメッセージにまでアクセスしたかは不明だ。米連邦捜査局(FBI)も、このハッキング事件の捜査を開始している。
Advertisement
ハッキングの手法からみて、アカウント所有者の側で今回の乗っ取り被害を防ぐことはほぼ不可能だったと考えられるが、その他の潜在リスクを避けるために、ソーシャルメディアアカウントを管理する企業が日ごろから実践すべきセキュリティ対策がいくつかある。
ハッキング事件の翌日、ある大手広告会社は社内通達を出してパスワードセキュリティの重要性を強調し、また、広告管理アカウントにアクセスする必要がなくなった人をシステムから除外するのを忘れないよう従業員に注意を促した。さらに、管理者になることができるのは、一定の勤務年数と責任を有する人のみであることが改めて伝えられたと、同エージェンシーの幹部は匿名を条件に明かしている。
Twitterの場合、アカウントの所有者は、アカウント設定からアクティブな「セッション」の数を確認し、他のユーザーやデバイスのログアウトを選択することが可能だ。
ハッキングを防ぐためには
広告やメディア業界では、しばしば中間レベルの従業員が、CMS(コンテンツ管理システム)、顧客関係管理ソフトウェア、クライアントのソーシャルメディアアカウントなど、ビジネス上の重要なツールへのアクセスを与えられる。
「カギを渡す前に、従業員の身元調査を行うことを検討すべきかもしれない」と、データ保護コンサルタント会社のヒワードミルズ(HewardMills)でデータ保護およびプライバシー担当ディレクターを務めるヘルガ・ターク氏は話す。従業員の調査を徹底することの重要性なら、Twitterは痛いほど知っているはずだ。2019年に同社の元従業員が2人、サウジアラビア政府に協力してユーザーアカウントに対するスパイ活動を行なったとして起訴されている。
今回のTwitterのセキュリティ問題は、企業がプライバシー保護のカルチャーを構築し、従業員の日常業務に対する姿勢にまで浸透させる必要があることを強く示していると、同氏はいう。
「毎年の研修や(中略)チェックボックスを用意するだけで終わりにしてはいけない。このようなデータ侵害は経済や安全保障に、ひいては我々の民主主義的な価値観に大きな影響を及ぼすものであるため、意味のある何らかの手立てを打つ必要がある」とターク氏は述べている。
潜在的な影響はとても深刻
現在のような在宅勤務の環境では、とりわけ従業員がセキュリティの低いネットワークを使用している可能性が高く、また個人のデバイスで仕事をしていたりするため、潜在的なセキュリティリスクが高まるおそれがあると、セキュリティソリューション企業ポジティブ・テクノロジーズ(Positive Technologies)で電気通信事業開発リーダーを務めるジミー・ジョーンズ氏はいう。
「どんなセキュリティ監査もやる価値がある。監査を始めると、いかに多くのアクセスを人々に与えているか気づくことが多い。在宅勤務を実施している場合は特にそうだ」と、ジョーンズ氏は述べている。
Twitterの場合、たったひとつのツイートが国際的な激しい政治論争に発展し、株式市場を急落させかねないプラットフォームであるだけに、とりわけ米大統領選挙が控えるこの年にハッキングがもたらす潜在的な影響は深刻だ。自分たちのデータやプライベートメッセージが適切に保護されていないと感じたら、ユーザーはプラットフォームを離れていくかもしれない。連邦政府から処罰を受ける可能性もある。Twitterは2010年、ユーザーの個人情報保護を怠ったとされる問題をめぐって、米連邦取引委員会(FTC)と和解している。和解の条件として、Twitterは向こう20年間、「非公開の消費者情報の安全性、プライバシー、秘密性を同社がどの程度まで保護しているかに関して消費者を欺く行為」を禁じられた。
Twitterの広報担当者は米DIGIDAYに対し、今回のハッキングに関する調査については、@TwitterSupportアカウントにて最新情報を発信しており、それ以上コメントすることはないと回答している。
「いわば上昇気流に乗っていた」
今回のハッキング事件は、テクノロジープラットフォームに厳しい目が向けられるなかで発生した。最新の政治問題となっているのはTikTokだ。米国のマイク・ポンペオ国務長官はこの7月、同アプリを中国企業が運営していることによる国家安全保障上の懸念から、トランプ政権がTikTokの使用禁止を検討していることを明らかにした。TikTokはすでにインドでは禁止されている。一方では、ヘイトスピーチや誤情報への対応に抗議するため、多数の広告主がFacebookへの出稿をボイコットしている。
一部の広告主は、Twitterを含むほかのプラットフォームにも出稿停止の動きを拡大しているが、それでもTwitterはおおむね最近の批判的報道の標的になることを免れてきた。
「Twitterはいわば上昇気流に乗っていた」と、クリエイティブエージェンシーのメカニズム(Mekanism)で最高ソーシャル責任者を務めるブレンダン・ガーン氏はいう。「彼らは誤情報の撲滅に取り組む姿勢をみせることに成功していた。Facebookとはまったく対照的なポジションに立って、それがもたらす潜在的な利益をつかもうとしていたように思える」。
しかし今回のハッキング事件によって、「彼らが手にした勢いと信用は失速するだろう」と、ガーン氏は述べている。
[原文:Twitter hack jolts companies into a social media security check]
LARA O’REILLY(翻訳:高橋朋子/ガリレオ、編集:長田真)