Twitter乗っ取りは社内ツールへの不正アクセス--パスワード変更は不要

　Twitterは、米国時間7月15日に発生した大規模なハッキング事件に関する調査の途中経過報告として、ハッカーらがユーザーのパスワードにアクセスした痕跡は見つからなかったことを明らかにした。

提供：Image via Yucel Moran

　この結果に基づき、同社は、数百もの著名人アカウントがハッキングされてビットコイン詐欺に利用された15日の事件への対応としてパスワードをリセットする必要はないとした。

　Twitterによると、社内のシステムとツールへのアクセス権を持つ一部の従業員を狙って、何者かが「組織的なソーシャルエンジニアリング攻撃」を仕掛けたという。そしてそのアクセス権を利用して、認証済みアカウントを含む有名なアカウントを乗っ取り、ツイートを発信した。

　アカウントを乗っ取られたのは、Barack Obama前米大統領、Joe Biden前米副大統領、Kanye WestさんやKim Kardashianさんら著名人、AppleやUberらハイテク企業など。

　Twitterは15日、認証済みアカウントを停止して新しいツイートを送信できないようにしてから、バックエンドからハッカーを締め出すことにより、攻撃を停止させた。

　認証済みアカウントは数時間停止された後に、復旧した。

　Twitterは16日、全ユーザーを対象にビットコインアドレスに似たフォーマットを含む文字列のツイートもブロックした。これによって、一部のセキュリティアナリストやコード開発者の作業に支障が生じた。似たような形式の文字列（ファイルハッシュやgitファイルパスなど）を含む一部のワークフローもブロックされたためだ。

　Twitterは16日の途中経過報告で、15日のハッキングに伴うアカウントの乗っ取りを防ぐための措置として、過去30日間にパスワードを変更したアカウントをロックしたとも述べた。

　同社によると、調査は続行中だという。米法執行機関も、この事件の調査を進めている。