CNBCの報道によると、米国証券取引委員会は月曜日、X(旧Twitter)の公式アカウントが今月初めに侵害され、SIM交換攻撃が原因だったと発表した。
1 月 9 日、権限のない第三者が @SECGov アカウントにアクセスし、当局が史上初のスポットビットコイン上場投資信託を承認したと主張する虚偽の投稿を表示しました。この不正投稿の後、暗号通貨市場は変化し、ビットコインの価格は当初4万8000ドル近くまで急騰した。その後、SECがビットコインETFを承認していないと明らかにしたことを受け、ビットコイン価格は4万6000ドルを下回った。
「事件から2日後、SECの電気通信事業者と協議した結果、SECは明らかな『SIMスワップ』攻撃中に、権限のない者がアカウントに関連付けられたSECの携帯電話番号を制御したと判断した」とSECの広報担当者は声明で述べた。
SIM スワッピングとは、所有者の許可なしに電話番号が別のデバイスに転送され、悪意のある者が被害者宛てのテキスト メッセージや音声通話を受信できるようにすることです。
見知らぬ人物が電話番号を入手した後、アカウントのパスワードをリセットしました。 SEC は 2 要素認証を有効にしていないため、SEC のアカウントに完全にアクセスするために必要な手順は、SIM カードの交換とその後のパスワードの変更の 2 つのみです。
SECは声明で、「@SECGovXアカウントでは以前多要素認証(MFA)が有効になっていたが、アカウントへのアクセスに問題があったため、Xサポートは2023年7月にスタッフの要請によりこの機能を無効にした」と述べた。 「アクセスが再確立されると、アカウントが侵害された後、スタッフが 1 月 9 日に再度有効にするまで、MFA は無効のままでした。」
現在、MFA 機能を提供するすべての SEC ソーシャル メディア アカウントでは、MFA 機能が有効になっています。この機関は、X アカウントの 2 要素認証を有効に戻すことができ、その際に X に依存しません。
X社のオーナー兼最高技術責任者であるイーロン・マスク氏は、X社のアカウントが侵害された後、米国証券取引委員会(SEC)を激しく非難した。マスク氏はまた、事件後にTwitterのセキュリティ部門の投稿をリツイートし、漏洩は「System Xが侵害されたことによるものではない」と述べた。
Xは、同プラットフォームが引き続き捜査当局と協力しているのか、あるいはSECアカウント侵害を受けて政府機関のアカウントに関連するデザインや機能を変更する予定があるのかといったCNBCの質問にはすぐには回答しなかった。
SECは、無許可の当事者がSECのシステム、データ、機器、その他のソーシャルメディアアカウントにアクセスしたという証拠はないと述べた。その代わり、同庁は「電話番号は通信キャリアを通じてアクセスされた」と述べ、法執行機関はその人物がどのようにして「通信キャリアにアカウントのSIMカードを変更してもらったのか、またどの電話番号がアカウントに関連付けられているかをどのようにして知ったのか」を捜査中である。
SECは、SEC監察総監室、FBI、国土安全保障省サイバーセキュリティ・インフラセキュリティ庁、商品先物取引委員会、司法省、SEC自身の執行部門を含む複数の法執行機関および連邦監督機関と引き続き協力していると述べた。