Twilio/Authy ハッキングの全容:2FA アカウントへの不正なアクセスとデバイス追加

Twilio breach let hackers gain access to Authy 2FA accounts

2022/08/26 BleepingComputer — 8月4日に発生した攻撃について、Twilio での調査が継続されている。そして、一部の Authy ユーザー・アカウントにハッカーアクセスし、不正なデバイスを登録したことが判明したという。Twilio 傘下の Authy が提供する2要素認証 (2FA) サービスは、ログイン認証情報の入力が成功した後に、専用アプリで2回目の認証を行うことで、同機能に対応したオンライン・アカウントを安全に利用できるようにするものだ。

2FAを有効にしたアカウントにログインする際には、ログインに必要なワンタイム・パスコードを、Authy が追加で提供することになる。 それにより、ログイン認証情報が漏洩した場合でも、アカウントへの不正アクセスを防止できる。


つまり、ハッカーが Authy のアカウントにアクセスできると、漏洩したアカウントにログオンできてしまう。したがって、Authy アカウント保護が、きわめて重要となる。

この、複数のデバイスに対応するサービスは、Google の Authenticator に匹敵するほどの人気を誇り、生成された2FAトークンを登録したデバイス間で同期させることも可能となっている。

漏洩した Authy アカウントに警告

木曜日に Twilio は、8月4日に同社インフラに不正アクセスした脅威アクターが、93人の Authy ユーザー・アカウントにもアクセスし、それらのアカウントにデバイスを不正リンクさせたことを発表した。

Twilio は、漏洩した Authy アカウントは個人ユーザーのものであり、全ユーザー 7500万人の、ごく一部に過ぎないと強調している。しかし、この 93人の Authyユーザーのアカウントについては、生成された 2FA コードに対して、ハッカーがアクセスできたと思われる。この 93人の Authy ユーザーが、ハッカーに狙われた理由は不明である。

同社は、不正アクセスされたアカウントから、不正なデバイスを削除した。その上で、影響を受けたユーザーと連絡を取り、アカウントを保護する方法を説明したと述べている

  • 疑わしいアクティビティにリンクされたアカウントを確認し、懸念がある場合はアカウント・プロバイダーと協力してほしい。
  • Authy アカウントに関連付けられている、すべてのデバイスを確認し、疑わしい追加デバイスをすべて削除する。
  • 不正なデバイスの追加を防ぐために、バックアップ・デバイスを追加し、Authy アプリケーションの [マルチ・デバイス許可] を無効化することを推奨する。 ユーザーは「マルチ・デバイス許可」を再び有効化することで、いつでも新しいデバイスを追加できる。 具体的な手順については、ココを参照してほしい。

また、Twilio による調査の結果、一定の期間において侵入者にデータをアクセスされた、 163人の Twilio ユーザーを特定したとのことだ。これらのユーザーには、不正アクセスに関する通知も届いている。

Twilio のデータ流出は、MailChimp/Klaviyo/Cloudflare などを含む、少なくとも 130の組織を標的とする大規模なキャンペーンの一部であると思われる。このインシデントは以前の更新で Twilio は、ハッカーによる認証情報への不正アクセスのため、この侵害では 125人の顧客が影響を被ったと述べていた。

昨日に「Twilio/Okta ハッキングの全容:脅威アクターの追跡と絞り込みも始まる」というタイトルで、全容という言葉を使ってしまい、全容の第二弾という、ちょっと変な流れになってしまいました。Okta のインシデントと比べて、「93人の Authyユーザーのアカウントについては、生成された 2FA コードに対して、ハッカーがアクセスできたと思われる。この 93人の Authy ユーザーが、ハッカーに狙われた理由は不明である」という点が気になります。よろしければ、Twilio で検索も、ご利用ください。

%d bloggers like this: