弁財天

→OG(@6)とOB(@b)は和製英語w、シンジ(@shinji)w、米も英も専門家が分析できない @lol

→スペイン政府は2015年からNSOの顧客でカタロニアの主要な政治家をターゲットにしてフランスとマルタとメキシコも監視対象w…

スペインではWhatsUpのLI(Lawful Interception)が表面化…。

Update — Twitter said nearly 130 high-profile accounts were compromised in the recent hack, but no passwords were accessed.

Notably, the company hasn't yet answered if the hackers have or were able to read users' private messages.https://t.co/uuKcvJCmSI

— The Hacker News (@TheHackersNews) July 17, 2020

著名人130人のアカウントはパスワードへのアクセスなしにハックされてるw。これでLI(Lawful Interception)のハンドオーバー・インターフェイスへのハック確定か…

Twitterの大規模アカウントハッキング、FBIが捜査開始https://t.co/ZApoCWR9F1

— ITmedia NEWS (@itmedia_news) July 16, 2020

あー、ハックされたのはFBIだわ。トランプか？w、次の選挙はほんとうに民主主義になりそーw

Adam Schiff calls for a Congressional probe why Donald Trump was not hacked

— zerohedge (@zerohedge) July 15, 2020

「なぜトランプ垢がハックされてないのかアダム・シフ(カリフォルニア州・民主党)が議会に調査を呼びかけ」w

司法機関が使う(Lawful Interception)言論統制パネル(ハンドオーバー・インターフェイス)なのでは？w

たぶんツイッターが終わった瞬間だったのでは？
うーむ残念だなぁ…w

うーむ。たぶん一太はこの画面を使っていたのでは？w

韓国のソウル市長の自殺とか、「n号室」事件もテレグラムのLIを攻略されたのか、 生徒をいじめ自殺に追い込んでいたグループラインとLINEのキュレーターもLIから攻略されていたのでは？

別の垢の画面…、あー、アカウントの状態が表示されてたのか緑色で「Active」とか…

これは凍結されて更新できなくなった(ReadOnly)アカウントw

永久凍結(Perm Suspended)されたアカウントw

外部に公開されてないアカウントの運用ステータスにどんな種類があるのかを暴露した…

デタッチしてパスコードでアカウントのEmailを確認する…

「Strike Count:0」て原発反対とか臓器狩りとかつぶやくとストライクカウントが上がって「Compromised」とかシャドウバンされる仕様？w

アカウント認証するアルバイトがあったけど、あれって司法機関、警察のバイトだったんだw、なんだかなーw

The extraordinary hacking spree that hit Twitter, leading it to briefly muzzle some of its most widely followed accounts, is drawing questions about the platform's security and resilience in the run-up to the U.S. presidential election https://t.co/cu4PCyV8hc pic.twitter.com/2kfxLHr4Vs

— Reuters (@Reuters) July 16, 2020

「Twitter silences some top accounts after internal systems hacked」w
ｹﾞﾗｹﾞﾗ

つまりハックされたのはツイッターの社内システムやテレワークする社員ではなく司法機関が使っているLI(Lawfil Interface)ということにw

So Twitter has an internal backdoor system, which has been exploited by "the bad guys." Remember this story the next time the FBI/CIA/NSA demands that Apple implement a backdoor system that only "they" can use, in the name of the "war on terror." https://t.co/za3phUPATT

— David Krider (@DavidKrider1) July 16, 2020

Twitter社が司法機関向けに公開してるLIのハンドオーバー・インターフェイスが外部に流出したと言ってるヒトもいますな…

政府がやってる言論統制が、このユーザー管理画面でバレてしまった…w

→Lawful Interception(2011年12月26日)

You’re probably wondering how we got in this situation... https://t.co/TrdzgZgk87

— Motherboard (@motherboard) July 16, 2020

ツイッター社の社内システムの画面が外部に流出してる。ソーシャルハックではなく三菱電気みたいに外部から社内にVPNを張られてるかんじw

Reposting, because twitter removed it. Guess they don't like criticism...

Screenshots of Twitter's internal admin tool. Not only does "Trends Blacklist" and "Search Blacklist" raise serious issues re: freedom of speech, it's racist too. Needs to be cancelled. pic.twitter.com/61r7cLXFnm

— Peter Todd (@peterktodd) July 16, 2020

The API was fixed after the last time the API was exploited. This attack is something different. From my own research and seeing the actions twitter is taking its likely true that an Internal Employee Panel was accessed theres even screenshots of the IEP and it being sold pic.twitter.com/YWmOt37GRa

— HKE2083 (@hke2083) July 16, 2020

#e_RadioUS Hackers Convinced Twitter Employee to Help Them Hijack Accounts https://t.co/WQWvIXx0jj pic.twitter.com/h7ikN0Y6fv

— E-Radio.US (@eRadioUS) July 16, 2020

アカウントの永久凍結ボタン(Perm Suspended)とかブラックリストの検索ボタン(Search Blacklist)とかヤバい管理画面が流出…w

「柔軟性が乏しいと、優秀な人材を他社に取られてしまう」「数カ月間、驚くほど生産的だった」。TwitterやSlackなど、アメリカのIT企業で無期限の在宅勤務が広がる背景を探ります。#新型コロナ #COVID19https://t.co/c41QQhXqp2

— 日本経済新聞 電子版 (@nikkei) July 12, 2020

あー、わかった。在宅勤務の社員の自宅のインフラから攻略されたのかw

これって、これからも起きそー、すべての社員が自宅インフラのWiFiとかF/Wとか侵入検知を運用できるはずもない…

Tough day for us at Twitter. We all feel terrible this happened.

We’re diagnosing and will share everything we can when we have a more complete understanding of exactly what happened.

💙 to our teammates working hard to make this right.

— jack (@jack) July 16, 2020

In one of the most brazen online attacks in memory, hackers breached some of Twitter's most prominent accounts, a Who’s Who of Americans in politics, entertainment and tech https://t.co/oaGoEIL5o1

— The New York Times (@nytimes) July 16, 2020

#BREAKING: ‘Coordinated social engineering attack’: Twitter confirms employees with access to internal systems targeted in bitcoin scam hack https://t.co/qCtijADtdw

— RT (@RT_com) July 16, 2020

We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.

— Twitter Support (@TwitterSupport) July 16, 2020

The great thing about Bitcoin scams is you can check how effective they are.

Today, scammers earned $118,000 in a few hours by hacking high-profile twitter accountshttps://t.co/zPO9TiIDm8 pic.twitter.com/oR2JzVw7PO

— Matthew Conlen (@mathisonian) July 16, 2020

有名人の垢を乗っ取ったビットコイン詐欺で、数時間のあいだに11万8千ドルを稼いだ…w

富岳キュレーターだわw

富岳は京の後継だからなぁ。しかもビットコインで稼いでるし、マウントゴックスの損失を取り返してるつもりなのでしょーか？w

ツイッター社のサポートにソーシャルエンジニアリングで社内システムへのアクセス権限を得て、わずか3時間以内に12人の著名人の垢でビットコイン詐欺を行ったw

→ハッキングチーム #HackingTeam とビットコイン

ツイッター アカウントのハッキング被害相次ぐ 社員標的かhttps://t.co/5dpUDpuwJw #Ｎらじ

— ＮＨＫラジオニュース (@nhk_radio_news) July 16, 2020

ツイッター アカウントのハッキング被害相次ぐ 社員標的か 2020年7月16日 16時05分
アメリカの著名人や企業のツイッターのアカウントが何者かにハッキングされる被害が相次いで起きました。ツイッター社は、何者かが、内部のシステムを操作できる社員を標的に働きかけアカウントにアクセスしたとみられると明らかにしました。
アメリカのツイッター社は15日、ツイッターのアカウントに影響を与える、セキュリティー上脅威になる事案が起き、何者かが、内部のシステムを操作できる社員を標的に働きかけ、アカウントにアクセスしたと見られると公表しました。
会社は、社員への働きかけは人の心の隙を突いてパスワードなどを盗み取るといった手口による「ソーシャルエンジニアリング攻撃」だったとしています。
アメリカのメディアは、ハッキングの被害に遭ったアカウントには、バイデン前副大統領、大手ＩＴ企業マイクロソフトの創業者のビル・ゲイツ氏、電気自動車メーカー、テスラのＣＥＯのイーロン・マスク氏、それにオバマ前大統領といった著名人のほか、アップルやウーバーなどの企業の公式アカウントが含まれると伝えています。
また、これらのアカウントでは、仮想通貨＝「暗号資産」のビットコインを指定した送付先に送れば、倍にして返すという内容のメッセージが掲載されたと、メディアは伝えています。
ツイッター社は、調査は継続中だとしていますが、アカウントについてはほとんどの機能が復旧したと発表しました。
ツイッターは、各国の要人も利用する、情報発信の世界的なインフラになっていますが、セキュリティー面の信頼性や掲載される情報の信ぴょう性などをめぐって懸念が高まることも予想されます。

心の隙を突きパスワードなど盗み取る手口か
ツイッター社は今回、何者かによって社員を標的にした「ソーシャルエンジニアリング攻撃」と呼ばれる攻撃が行われたと公表しています。
「ソーシャルエンジニアリング攻撃」は、人の心の隙を突いてパスワードなどを盗み取る手口で、世界中で被害が相次いでいます。
さまざまなケースが知られていますが、主なものとしては、内部の関係者や社員などにメールやＳＮＳなどを使って偽名で接触し、時間をかけてやり取りして相手を信頼させ、ウイルスに感染させる手口があります。
例えばアメリカのセキュリティー会社、セキュアワークスの報告では、2016年、イギリスの架空の女性写真家をかたったハッカー集団が、石油会社や通信会社などの社員とＳＮＳで接触し、1か月以上やり取りしたうえで、ウイルス付きのファイルを開かせる攻撃を行ったということです。
また、セキュリティー関係者によりますと、おととし、日本の暗号資産の大手交換会社から巨額の暗号資産が流出した事件では、半年以上かけて偽名でＳＮＳのやり取りを続けることで、システムの管理権限を持つ社員を信用させ、パソコンをウイルスに感染させたとみられるということです。

「システム大元の脆弱性突いた可能性」
サイバーセキュリティ－に詳しい日本ハッカー協会の杉浦隆幸代表理事は、現時点では情報が限られているとしたうえで「著名人のアカウントが一斉に乗っ取られていることからみると、システムの大元の脆弱性を突いた攻撃の可能性がある。インターネット上では1週間ほど前から、ツイッターのアカウント名を書き換えられたと訴える声が上がっていた。関連があるかは不明だが、攻撃者は時間をかけてシステムに侵入を試み、大規模な攻撃を成功させたのではないか」と話しています。
著名人のアカウントを乗っ取り、暗号資産の取り引きに関するツイートを投稿する手口については「通常、金銭を要求する場合は目立たないように攻撃するケースが多い。今回は有名人をねらっていることから、金銭目的以外にも政治的なものなど、別の意図の可能性もある。ツイッターは今や、政治や経済に大きな影響を与えるメディアとして確立している。アカウントの乗っ取りは信頼性を損ねることにつながるので、運営会社はしっかりと対応する必要がある」と話していました。

「つながりや信頼を悪用」
独立行政法人「情報処理推進機構」でエキスパートを務める加賀谷伸一郎さんは「著名人や企業の公式アカウントは信頼度が高いとみられるので影響力が大きく、今回の攻撃はつながりや信頼という特徴を最大限悪用した手口だ。乗っ取られた多くのアカウントは、よりセキュリティーの高い二要素認証を設定していたという報告もあり、攻撃はツイッターのシステムの弱点が悪用されたとみられる。攻撃の意図としては、金銭をだまし取ろうとしたことがうかがえる。このような手口の模倣犯が日本をねらうことも考えられ、有名人のアカウントだからといってすべてを信じるのではなく『うまい話にご用心』という心がけが必要だ」と話していました。

もしソーシャルネットワークで社員が攻撃されたのなら「ユーザー管理画面のスクショ」が流出することはない。 社内システムに侵入できる裏口やVPN、LI(Lawful Interception)を使っている司法機関が攻略されてしまったのだな…w