ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスの
データベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う
https://www.itmedia.co.jp/news/articles/2208/08/news065.html
https://privacy.twitter.com/en/blog/2022/an-issue-affecting-some-anonymous-accounts
https://www.bleepingcomputer.com/news/security/twitter-confirms-zero-day-used-to-expose-data-of-54-million-accounts/
ニュース概要
-8月5日(米国時間)、Twitter運営より、同ユーザー540万人分のアカウント情報の一部が流出していたと発表されました。
-7月21日にセキュリティ情報サイト「Restore Privacy」において、当該情報がアンダーグラウンドのハッキングフォーラムで販売されていたとされ、Twitterシステムの脆弱性を悪用し、大量に奪取された可能性が報じられていたもの(AUS便り 2022/07/26号参照)で、今回Twitter運営がこれを事実と認めた形となっています。
-PC情報サイト「Bleeping Computer」が報じたところでは、含まれる情報は電話番号あるいはメールアドレス・フォロワー数・ユーザー名・ログイン名・プロフィール画像のURL等とされ、パスワードは流出していないとのことです。Twitterでは、Restore Privacyの報道を受けて、影響を受けたことが確認できるユーザーに対しては直接通知を行うとともに、アカウント保護のため二段階認証の設定を行うよう呼び掛けています。
AUSからの所感
悪用された脆弱性は昨年6月のシステム修正で発生したもので、指定したメールアドレスまたは電話番号に関連付けられたTwitterのアカウント情報を取得可能なものとされていますが、運営では今年1月にバグ報奨金プラットフォームを通して報告を受けていたとのことで、現在は既に修正されています。
アカウントへの不正ログインや連携アプリの不正操作につながるような情報の流出こそなかったものの、ハッキングフォーラムで攻撃者が購入したとされており、SPAMメール・フィッシングメールを送信する等の対象となるまとまった情報としては十分に有用な情報となり得ることが窺えます。
二段階認証の設定は、今回のケースにおいて流出の対象となったユーザーが流出による弊害を直接緩和できる可能性こそ低いでしょうが、他のサービスも含め可能な限り実行して頂き、また個人のみならず、企業組織で導入しているグループウェア等でも、利用可能なものについて利用を呼び掛け、外部の第三者による機密情報へのアクセスを防止するために活用されるのが望ましいでしょう。