大手企業や著名人のTwitterアカウントが一斉にハッキングされるという、これまでに類を見ないセキュリティ侵害が発生しました。ハッキングされたTwitterアカウントではビットコイン詐欺のツイートが行われ、約12万ドル(約1300万円)の被害が出ています。
Twitter上で複数の著名アカウントがハッキングされるという事態が発生しました。ハッキングそのものはすでに鎮静化したようですが、ハッキングされたアカウントでは2時間以上にわたり定期的に詐欺ツイートが投稿されています。Twitterの公式サポートアカウントは2020年7月16日6時45分に「Twitterのアカウントに影響を与えるセキュリティ問題を認識しています。我々は現在この問題について調査中であり、修正に向けて対策を講じています」とツイート。
その後、同日の7時18分に「この問題を確認したアカウントに対処している間は、ツイートしたりパスワードをリセットしたりできない可能性があります」とツイート。同日の8時18分にも「調査の間、ハッキングを受けたアカウントではツイートおよびパスワードのリセット、その他のいくつかのアカウント機能の制限を続けています。お待ちいただきありがとうございます」とツイートし、問題に対処中であることが明らかになっています。
著名なTwitterアカウントがハッキングされたことが明らかになったのは、テスラやSpaceXの創業者であるイーロン・マスク氏のTwitterアカウントが、ビットコイン詐欺についてのツイートを連投したことで明らかになりました。これと同じような詐欺ツイートが、Microsoftの創業者であるビル・ゲイツ氏のTwitterアカウントでも確認されています。
マスク氏のTwitterアカウントで投稿された最初のビットコイン詐欺に関するツイートは、「新型コロナウイルス感染症のおかげで太っ腹です。今後1時間の間、私のビットコインアドレスに送金された支払いを2倍にして返します。幸運を祈りながら、安全を守っていきましょう!」という内容でした。当該ツイートが削除された後、マスク氏のTwitterアカウントには「感謝のもと、私のビットコインアドレスに贈られる支払いを2倍にして返します!あなたが1000ドル分のビットコインを送ってくれたなら、私は2000ドル分のビットコインを返金します!これは今から30分の間だけ行います」というツイートが連投されました。なお、マスク氏のツイートにはビットコインアドレスが記されており、このビットコインアドレスはマスク氏以外のハッキングされたアカウントにも記載されています。
ゲイツ氏の広報担当者はRecodeの記者であるTeddy Schleifer氏に対して、「このツイート(ビットコイン詐欺に関するツイート)がビル・ゲイツにより投稿されたものではないことを確認しています。これはTwitterが直面している大きな問題の一部のようです。Twitterはアカウントを認識しており、アカウントの復元に取り組んでいます」という声明を出しています。
記事作成時点では、マスク氏やゲイツ氏以外にも、Apple、Uber、バラク・オバマ前アメリカ大統領、Amazonのジェフ・ベゾスCEO、民主党のアメリカ大統領候補であるジョー・バイデン氏、ミュージシャンのカニエ・ウェスト氏、元ニューヨーク市長のマイケル・ブルームバーグ氏などのTwitterアカウントがハッキングされたことが確認されています。
記事作成時点では大規模なTwitterアカウントハッキングが個人により行われたのか、あるいはグループで行われたのかは不明。また、被害がどれほど広範囲に及んでいるのかも不明です。ニュースサイトのThe Vergeはセキュリティ侵害が発生した経緯を「Twitterのログインプロセスやアカウントの復旧プロセス、あるいはサードパーティアプリのプロセスに深刻なセキュリティ脆弱性が存在するのか、あるいはハッカーがTwitter従業員の管理者権限に何らかの方法でアクセスしたのではないかと考えられています」と推測しています。
また、テクノロジー関連メディアのMotherboardは、複数のアンダーグラウンドハッキングサークルから、今回のハッキングに使用されたとされる「Twitter内部の管理ツールのスクリーンショット」を入手し公開しています。Twitter上にも当該画像は投稿されたものの、Twitterによって削除されており、スクリーンショットを投稿するユーザーのアカウントを一時停止しているケースもあるそうです。なお、Twitterは大規模ハッキングがどのように行われたかについて、詳細を共有していません。
なお、ハッキング被害にあったTwitterアカウントを運用していたCameron Winklevoss氏は、「主要な仮想通貨の公式Twitterアカウントはすべてハッキングされています。2段階認証と強力なパスワードで運用されていた@Geminiでも同様にアカウントをハッキングされました。現在ハッキング被害について調査中です。間もなく詳細情報をお知らせします」とツイートしており、2段階認証と強力なパスワードでアカウントが保護されていたことも明らかになっています。
なお、ビットコインの性質上、取引の記録はすべて公開されています。取引記録はすべてタイムスタンプ付きなので、詐欺ツイートにだまされた送金の総額はおよそ12万ドル(約1300万円)程度であることが確認されています。記載されていたビットコインアドレス宛に送金されたであろうビットコインの総額も確認することができます。