Twilio 侵害の調査が完了:209人の顧客と 93人の Authy エンドユーザーに被害

Twilio discloses another hack from June, blames voice phishing

2022/10/27 BleepingComputer — クラウド・コミュニケーション企業の Twilio は、2022年6月のセキュリティ・インシデントに起因する新たなデータ侵害を開示したが、その背景には、8月に生じたハッキングで顧客の情報にアクセスした同一の攻撃者がいるようだ。Twilio によると、新たに開示された 6月29日の件は、短時間のセキュリティ・インシデントだったという。攻撃者はソーシャル・エンジニアリングを用いて、音声フィッシング攻撃で従業員を騙して認証情報を受け取った。その後に、盗まれた認証情報は、限られた顧客の情報にアクセスするために使われた。

同社は10月25日に、「脅威アクターによるアクセスは 12時間以内に特定され、排除された。6月のインシデントにより情報が影響が生じた顧客には、2022年7月2日の時点で通知している」と明らかにした。

8月の侵害で影響を受けた 209人の顧客

さらに、Twilio が明らかにしたのは、8月に侵害を引き起こしたハッカーが、SMS フィッシング攻撃で盗み出した従業員の資格情報を使用して、社内システムの一部に侵入した後に、209人の顧客と 93人の Authy エンドユーザーのデータにアクセスしたことだ。

Twilio は、「すべての顧客である 27万人以上のうちの 209人の顧客と、すべてのユーザーが数 7500万人のうちの 93人の Authy エンドユーザーが、このインシデントにより影響を受けたアカウントを持っていた」と述べている。一連のインシデント調査を終えた Twilio は、顧客のコンソール・アカウントの認証情報/API キー/認証トークンなどへの、不正アクセスの形跡がないことも確認した。

同社は8月7日に、このインシデントを公表したが、今回の調査では、攻撃者は2日間にわたり、この環境へのアクセスを維持していたことも判明した。Twilio は、「当社の環境で最後に観測された不正な活動は、2022年8月9日であった」と付け加えている。

大規模な SMS フィッシング・キャンペーン

Twilio が8月のインシデント後に述べたように、攻撃者は SMS フィッシング攻撃で盗み出した従業員の認証情報を用いて、同社のネットワークにアクセスしていた。このハッカーは Twilio のシステム内に入ると、管理ポータルを介して顧客データにアクセスし、Authy 2FA のアカウントとコードにアクセスし、自身のデバイスを登録してテンポラリー・トークンを取得した。

Twilio のデータ流出インシデントは、MailChimp/Klaviyo/Cloudflare などを含む、少なくとも 130件の組織を標的とした大規模キャンペーンの一部であり、Scatter Swine または 0ktapus として追跡されている脅威アクターによるものだ。

Cloudflare は、同様の SMS フィッシング攻撃により、従業員の認証情報を盗まれたことを公表している。ただし、同社が発行している FIDO2 準拠のハードウェア・セキュリティキーにより、攻撃者のログイン試行はブロックされ、システム内への侵入は失敗したと述べている。

Twilio は、6月と8月に発生した侵入の結果を受けて、漏洩した従業員のユーザー・アカウントの認証情報をリセットし、全従業員に FIDO2 トークンを配布しているとのことだ。

ようやく、Twilio におけるインシデントの調査が完了したようです。このブログでも、経緯を追いかけてきましたので、以下をご参照ください。

8月8日:Twilio にデータ侵害が発生:従業員に対する SMS フィッシングが攻撃の侵入経路
8月9日:Cloudflare の従業員に SMS フィッシング攻撃:Twilio の二の舞にならなかった理由は?
8月12日:Twilio の被害状況:データ侵害 125件が発生したが認証情報は盗まれなかった
8月16日:Signal ユーザー 1900人分の電話番号が流出:Twilio データ侵害の影響
8月25日:Twilio/Okta ハッキングの全容:背後にいる脅威アクターの追跡も始まる
8月26日:Twilio/Authy ハッキングの全容:2FA アカウントへの不正なアクセスとデバイス追加

こうして眺めてみると、Cloudflare が FIDO2 準拠のセキュリティ・キーで、この侵入をブロックしたことが際立ちます。そして、10月12日に Google が発表した、FIDO (Fast Identity Online) 準拠の Passkeys への期待が高まりそうだと思えてきます。

%d bloggers like this: