通信大手Twilioへのフィッシング攻撃により、Signalユーザー約1,900人のプライバシーが侵害されました。電話番号に加え、攻撃者が新しいデバイスにアカウントを登録できるSMS認証コードも漏洩しました。

背景

Twilioは、音声通話やSMS機能の提供など、アプリ開発者向けに幅広いサービスを提供しています。Signalの場合、このセキュアメッセージングアプリは、新規ユーザーの電話番号認証にTwilioを利用していました。

Twilio は先週、フィッシング攻撃の被害に遭い、攻撃者が顧客のアカウントにアクセスできたことを明らかにした。

2022年8月4日、Twilioは、従業員の認証情報を窃取することを目的とした高度なソーシャルエンジニアリング攻撃により、一部のTwilio顧客アカウントに関する情報が不正アクセスされたことを認識しました。従業員を標的としたこの広範囲にわたる攻撃により、一部の従業員が認証情報を提供せざるを得なくなりました。その後、攻撃者は窃取した認証情報を用いてTwilioの一部の社内システムにアクセスし、特定の顧客データにアクセスしました。Twilioは、このインシデントの影響を受けたお客様には引き続き通知を行い、直接対応を進めています。調査はまだ初期段階であり、現在も継続中です。

このフィッシングは、Twilio の従業員がパスワードを変更する必要があると主張する、非常に単純なテキスト メッセージにすぎないことを考えると、これは恥ずかしいセキュリティ上の失敗でした。

お知らせ！<アカウント> のログイン期限が切れました。twilio-sso.com をタップしてパスワードを更新してください。

シグナルのプライバシーへの影響

Signalが電話番号認証にTwilioを使用していたため、一部のユーザーの電話番号が漏洩しました。場合によっては、攻撃者がその電話番号を別のデバイスに再登録しようとしたケースもありました。

同社はブログ投稿でこれを明らかにしており、影響を受けたユーザーに連絡を取っていると述べた。

約1,900人のユーザーについては、攻撃者が別のデバイスに番号を再登録しようとしたり、その番号がSignalに登録されていることを把握したりした可能性があります。この攻撃はTwilioによって既に阻止されています。1,900人のユーザーはSignalの全ユーザー数のごく一部であり、ほとんどのユーザーは影響を受けなかったと考えられます。

私たちはこれらの 1,900 人のユーザーに直接通知し、デバイスに Signal を再登録するよう促しています。

攻撃者はこれらの電話番号のSMS 2FAコードにもアクセスできたため、新しいデバイスにアカウントを登録できたと考えられます。実際にこのようなことが起こったかどうかは不明です。

攻撃者はフィッシング攻撃を通じてTwilioのカスタマーサポートコンソールにアクセスしました。約1,900人のユーザーについて、1) 電話番号がSignalアカウントに登録されていることが判明した、または2) Signalへの登録に使用されたSMS認証コードが漏洩した可能性があります。

攻撃者がTwilioのカスタマーサポートシステムにアクセスしていた期間中、SMS認証コードを使用してアクセスした電話番号を別のデバイスに登録しようとする可能性がありました。攻撃者は現在このアクセス権限を失っており、Twilioは攻撃を阻止しました。

同社は、メッセージやその他の個人データは漏洩していないと慎重に強調した。

すべてのユーザーは、メッセージ履歴、連絡先リスト、プロフィール情報、ブロックした相手、その他の個人データがプライベートかつ安全に保持され、影響を受けていないことを安心できます。

万が一、Signalアカウントが影響を受けた場合は、Twilioは本日中に再登録を促すメッセージをお送りします。これはSignalアプリ内で行う必要があります。もちろん、予期せぬテキストメッセージ内のリンクは絶対にクリックしないでください。これは、Twilioの従業員の中には学ぶべき教訓のように思えます。

また先週、Twitter は、1 月に発見された脆弱性を悪用した攻撃者によってアカウントの詳細が漏洩されたことをようやく確認しました。

写真: Adem AY/Unsplash

havebin.com を Google ニュース フィードに追加します。