Twitterの大規模攻撃、特定の従業員を狙うスピアフィッシング攻撃が判明

　Twitterは30日(現地時間)、7月16日に発生した大規模攻撃に関する調査の追加報告を行なった。

　今回は攻撃の詳細について報告されており、小数の従業員を狙ったスピアフィッシング攻撃が仕掛けられたこと明らかとなった。実際に16日に行なわれた大規模攻撃には、社内ネットワークに加え、特定の従業員のみがもつサポートツールへのアクセス権が必要だが、最初に狙われた従業員は全員ツールへのアクセス権を持っていなかったという。

　しかし、攻撃者はここで得た資格情報からシステムへ侵入し社内情報を入手。ツールへのアクセス権を持つ従業員に対してさらなる攻撃を実行し、手に入れた資格情報を悪用して、実際のTwitterアカウントへの攻撃を行なったという。

　同社では、ツールやシステムの改善などを進めるほか、フィッシング対策の演習を継続的に行なうなど、セキュリティの向上を図っていくとしている。また、現在も攻撃者の特定に向けた調査が進められており、完了するまでの間は社内ツールやシステムへのアクセスが大きく制限されているため、一部機能が使えなかったりサポートへの対応が遅くなる場合があるという。