【リンク先抜粋】
　米Twitterは7月17日の午後9時ごろ（現地時間）、15日に発生した著名人のアカウント乗っ取り・詐欺ツイート事件についての現状報告を公式ブログにまとめた。 被害規模 　同社は前回の報告で、攻撃の対象になったのは認証済み（青バッジ）アカウントを含む130人だとしていた。ブログではさらに、攻撃者はこれらの130のアカウントから電子メールアドレスや電話番号を入手できたことと、攻撃によってアカウントを乗っ取られ、偽のツイートを投稿されたアカウントは45件あり、最大8アカウント（非青バッジのみ）から攻撃者が「Twitterデータ」をダウンロードした形跡があることを説明した。対象となったアカウントには既に直接連絡済みという。 　Twitterデータには、過去のツイートだけでなく、DM（ダイレクトメッセージ）なども含まれる。DMはE2EE（エンドツーエンドの暗号化）はされていないので、攻撃者はこれを読めてしまう。 経緯 　Twitterは、「攻撃者はソーシャルエンジニアリングを介して特定の従業員を標的にした」と以前の説明を繰り返し、さらにソーシャルエンジニアリングを「特定のアクションにより、機密情報を漏らすよう人々を意図的に操作すること」と説明した。 　「攻撃者は少数の従業員を巧みに操作し、その従業員の権限を使ってTwitterの内部システムにアクセスした。攻撃者は社内サポートチームだけが使えるツールを使って130のアカウントにアクセスした」という。攻撃者がどのようにして「従業員を操作」し、何を盗んだかについてはまだ調査中だ。 行っている対策 　Twitterは15日、攻撃に気付いてすぐに乗っ取られたアカウントをロックし、制御は取り戻した。また、攻撃者によるアクセスを防ぐため、内部システムへのアクセスを保護した。 　また、攻撃拡大の予防措置として、多くのアカウントの機能を制限（ツイートやパスワード変更の防止など）し、最近パスワードが変更されたアカウントの一部をロックした。発表時点でほとんどのアカウントのロックは解除したとしている。 　今後については、引き続き事件の調査と法執行機関との協力を続け、今後の攻撃を防ぐためにシステムを強化する。 　また、ソーシャルエンジニアリング対策として、全社的な従業員のトレーニングを実施する計画だ。 　「（この件について

続きはこちら

(2020/07/18)