ガジェット

Twilio、フィッシングで奪われた従業員の認証情報による不正アクセスで顧客の情報が漏洩

Twilio は 7 日、フィッシングで奪われた従業員の認証情報による不正アクセスで少数の顧客に関連する情報が漏洩したことを発表した
(Twilio のブログ記事
The Verge の記事
HackRead の記事
The Register の記事)。

フィッシングは SMS でログインの期限切れやスケジュールの変更などを知らせ、偽サイトの偽サインインページに誘導して認証情報を入力させるというもの。偽サイトは「Twilio」「Okta」「SSO」といった単語を組み合わせたドメイン名だったという。このようなフィッシング SMS は従業員や元従業員から報告されており、幅広く送信されていたようだ。発信元は米国の携帯電話キャリアを使用しており、電話番号を含むデータを従業員の名前と一致させる技術も持っているとみられる。

Twilio では同様のフィッシング攻撃を受けた他社とも協力して携帯電話キャリアに送信を止めるよう働きかけたほか、レジストラントやホスティングプロバイダーに偽サイトを停止するよう働きかけたが、攻撃はキャリアやホスティングプロバイダーなどを切り替えて続けられた。そのため、攻撃者は組織化されて高度な技術を持っていると考えられるとのこと。

Twilio が不正アクセスに気付いたのは 8 月 4 日。セキュリティチームが問題確認後に侵害された従業員のアカウントからのアクセスを無効化し、フォレンジック企業にも調査への協力を依頼したという。データにアクセスされた顧客には個別に連絡しており、Twilio から連絡がない限りは影響なしと考えていいようだ。日本では KDDI ウェブコミュニケーションズが Twilio の代理店となっているが、8 月 9 日 10 時 30 分時点の調査の結果では同社を通じて契約したアカウントに影響を受けたものはないそうだ。

なお、Cloudflareも同様の攻撃を受けて従業員がフィッシングに引っかかったが、同社は全従業員に物理的なセキュリティキーを発行しており、アプリケーションへのアクセス時に必須としていたことで難を逃れたとのことだ
(The Cloudflare Blog の記事)。

すべて読む

| YROセクション

| セキュリティ

| 情報漏洩

| プライバシ
|
この記事をTwitterでつぶやく
この記事をFacebookで共有
この記事をGoogle Plusで共有
このエントリーをはてなブックマークに追加

関連ストーリー:

従業員がだまされやすいフィッシングメールの件名
2022年07月07日

SMSを悪用したスミッシング被害増加中。一方で攻撃者のレベルは低下か
2022年06月16日

米 Verizon のユーザー、自分の携帯電話番号からスパム SMS が届く問題
2022年04月02日

SMSでは簡単に送信元を偽装できる
2019年09月04日

米連邦通信委員会、テキストメッセージング・サービスは通信サービスに含まれないことを決定
2018年11月26日

Twilio、Faxの送受信を可能にするAPIのベータ版を公開
2017年04月01日

SMSを利用した店内でのショッピングアシスタンスシステム
2015年09月23日

Source: スラッシュドット