Twilio の被害状況:データ侵害 125件が発生したが認証情報は盗まれなかった

Twilio: 125 customers affected by data breach, no passwords stolen

2022/08/12 BleepingComputer — クラウド・コミュニケーション大手の Twilio は、二要素認証 (2FA) プロバイダーとして人気の Authy を傘下に持つ企業だが、先週に発覚したセキュリティ侵害により、不正なデータ・アクセスを経験した顧客が、125件に達したことを発表した。同社は、この事件の背後にいる攻撃者に関して、影響を受けた顧客の認証情報には、アクセスできなかったと付け加えている。

Twilio は、「悪意のある行為者により、一定の期間においてデータが不正アクセスされた、約 125の Twilio 顧客を特定し、その全員に通知した。 顧客の、パスワード/認証トークン/API キーが、無許可でアクセスされた証拠はない」と、最初の情報更新で明らかにした。

この攻撃者は、SMS フィッシング攻撃で盗み出した、複数の Twilio 従業員の認証情報を使って、同社のネットワークにアクセスした。この侵入を発見した後に Twilio は、侵害された従業員の認証情報を失効させ、攻撃者によるシステムへのアクセスを遮断し、影響を受けた顧客への通知を開始した。

また、同社は、米国の複数の携帯電話会社に対して、フィッシング・メッセージの配信に使われたアカウントを停止するよう要請したが、脅威者は新しいアカウントに切り替えて、攻撃を再開した。

SMS phishing message sent to Twilio employees
SMS phishing message sent to Twilio employees (Twilio)


調整された SMS フィッシング・キャンペーン

Twilio は、同様の攻撃の対象となった IT 企業など、アカウントの削除要請を調整したという。

同様の SMS フィッシング攻撃により、従業員の認証情報を盗まれた Cloudflare は、会社支給の FIDO2 準拠のハードウェア・セキュリティ・キーを使用しているため、ログイン試行がブロックされ、攻撃者による同社システムへの侵入は生じなかったと述べている。

Cloudflare は、「漏洩したユーザー名とパスワードという認証情報を用いて、攻撃者は当社システムへのログインを試みたが、ハードキーの要件を突破できなかった」と説明している。

2021年5月にも Twilio は、正規の Codecov Bash Uploader ツールの、トロイの木馬化に成功した攻撃者が、Codecov の顧客から認証情報と秘密鍵を盗むという、Codecov サプライチェーン攻撃の影響を受けたことも公表している。

同社が提供する、プログラマブルな Voice/Text/Chat/Video/eMail の API は、Coca-Cola/Salesforce/Dell/Twitter/VMware/Uber/Stripe/eBay といった 150,000 社の企業の、1,000 万人を超える開発者により、顧客エンゲージメント・プラットフォームの構築のために使用されている。

なお、2015年2月に Twilio は、エンドユーザーや企業向けに 2FA を提供し、世界中で数百万人のユーザーを抱える、人気プロバイダー Authy を買収している。

この Twilio におけるインシデントですが、8月8日の「Twilio にデータ侵害が発生:従業員に対する SMS フィッシングが攻撃の侵入経路」に対する続報となります。顧客の認証情報は盗まれなかったことが、不幸中の幸いですね。ここで止まることを願っています。なお、文中にある Cloudflare のインシデントについては、8月9日の「Cloudflare の従業員に SMS フィッシング攻撃:Twilio の二の舞にならなかった理由は?」を、ご参照ください。SMS フィッシングについては、米 FCC から警告が発せられています。ご用心ください。

%d bloggers like this: