Twitterの大規模ハッキングは、内部ツールでパスワードリセットしアクセスが行なわれていた

　Twitterは18日(米国時間)、7月16日未明に発生した著名人や有名企業の公式アカウントを狙った大規模ハッキング(参照)の調査および対策を発表した。

　既報のとおり、ハッキングは同社の内部システムやツールへのアクセス権限を持つ従業員を標的にしたソーシャルエンジニアリング攻撃とされており、社内サポートチームのみが利用できるツールを利用して、130個のアカウントをターゲットにしていたと明らかにした。

　このうち45個のアカウントに対しては、パスワードのリセットに成功してツイートすることに成功しており、同社はこれらのアカウントに対しフォレンジックレビューを続けている。また、犯人がアカウントのIDを販売しようとした可能性もあるとしている。

　また、この事件に関与する最大8つのアカウントで、アカウントの詳細やアクティビティ概要などをダウンロードできる「Twitterデータ」を介してアカウントの情報をダウンロードしていたとも明かした。いずれのアカウントも同社の認証済みアカウントではなかった。

　同社は、引き続き一時措置としてロックしているアカウントへのアクセスの復元、法的機関との協力やシステムの保護など、信頼回復へ向けたアクションを進めており、最新情報はTwitter Supportの公式アカウントで随時公表する。