攻撃者が、人気の2FAセキュリティアプリAuthyのユーザー3,300万人の電話番号を入手し、フィッシング攻撃のリスクが高まっている。
開発元のTwilioはこの主張を認め、顧客に2つの予防措置を講じるよう求めた…
2要素認証(2FA)とは、ユーザー(またはユーザーの認証情報を使用する人物)がウェブサイトやサービスにログインする際に、アプリによって生成されたワンタイムパスコードの入力が求められることを意味します。TwilioのAuthyは、App Storeで最も人気のある2FAアプリの一つです。
先週、攻撃者は Authy ユーザーの電話番号 3,300 万人を入手したと主張し、Twilio はアカウント数を明らかにせずにこれを確認しました。
Twilio は、認証されていないエンドポイントが原因で、脅威アクターが Authy アカウントに関連付けられたデータ (電話番号を含む) を特定できたことを検出しました。
このエンドポイントのセキュリティを確保するための措置を講じ、認証されていないリクエストは許可しないようにしました。脅威アクターがTwilioのシステムやその他の機密データにアクセスしたという証拠は確認されていません。
開発者は、すべてのユーザーに対し、最新バージョンにアップデートし、怪しいテキストメッセージに注意するよう呼びかけている。
予防措置として、Authyユーザーの皆様に最新のセキュリティアップデートを適用し、AndroidおよびiOSアプリを最新版にアップデートしていただくようお願いいたします。Authyアカウントが侵害されることはありませんが、脅威アクターがAuthyアカウントに関連付けられた電話番号をフィッシングやスミッシング攻撃に利用しようとする可能性があります。Authyユーザーの皆様には、引き続き注意を払い、受信するテキストメッセージに十分注意していただくようお願いいたします。
ここでの最大のリスクは、攻撃者があなたについて次の 3 つのことを知ってしまうことです。
- あなたの電話番号
- 2FAを使用していること
- Authyを具体的に使用すること
これらの情報を利用して、例えば、あなたのサービスから二要素認証に問題があると通知し、リセットを求めるような、説得力のあるテキストメッセージを作成することができます。あるいは、Twilioを装うようなテキストメッセージも考えられます。
TechCrunch は、複数の企業にわたる約 10,000 件の従業員ログイン情報の盗難につながったフィッシング キャンペーンの背後には、同じハッカーがいると考えられていると報じています。
Evolveのデータ侵害の背景にはフィッシング攻撃もあり、Wiseや他のフィンテック企業の顧客の機密個人情報が漏洩した可能性が高い。
サイバーセキュリティ企業のセキュリティ上の脆弱性が明らかになったのは、ここ数週間で2度目となります。多くの大手IT企業が利用する本人確認サービスで写真付き身分証明書が流出した事件に続き、2FAアプリの開発元である同社は、ハッキングされたくない企業のリストの上位に名を連ねています。
アンスプラッシュのフィリップ・カッツェンバーガーによる写真
www.hiloge.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
