Last Updated on 2024-07-04 18:44 by admin
Twilioが所有する二要素認証アプリAuthyのセキュリティ侵害が発生し、数百万の電話番号が露出した。未認証のエンドポイントを利用してAuthyアカウントに関連するデータ、特にユーザーの携帯電話番号を特定した未特定の脅威アクターによるものである。Twilioはこのエンドポイントをセキュアにし、未認証のリクエストを受け付けないように対策を講じた。この情報は、オンライン上の人物ShinyHuntersがBreachForumsにAuthyアカウントから抽出されたとされる3300万の電話番号を含むデータベースを公開した数日後に明らかにされた。Twilioはシステムやその他の機密データへのアクセスが確認されていないとしながらも、ユーザーに対してAndroid(バージョン25.1.0以降)およびiOS(バージョン26.1.0以降)アプリを最新版にアップグレードすることを推奨している。また、脅威アクターがAuthyアカウントに関連する電話番号をフィッシングやスミッシング攻撃に利用する可能性があると警告し、ユーザーに対して受信するテキストメッセージに対する注意を促している。
【ニュース解説】
クラウド通信サービスを提供するTwilioが所有する二要素認証アプリ、Authyがセキュリティ侵害に遭遇し、数百万の電話番号が露出した事件が発生しました。この侵害は、未認証のエンドポイントを悪用してAuthyアカウントに関連するデータ、特にユーザーの携帯電話番号を特定した未特定の脅威アクターによって行われました。Twilioはこの問題に対処し、未認証のリクエストを受け付けないようにエンドポイントをセキュアにする措置を講じました。
この事件は、オンライン上の人物ShinyHuntersがBreachForumsにAuthyアカウントから抽出されたとされる3300万の電話番号を含むデータベースを公開した数日後に明らかになりました。Twilioは、自社のシステムやその他の機密データへのアクセスが確認されていないとしながらも、ユーザーに対してAndroidおよびiOSアプリを最新版にアップグレードすることを推奨しています。さらに、脅威アクターがAuthyアカウントに関連する電話番号をフィッシングやスミッシング攻撃に利用する可能性があると警告し、ユーザーに対して受信するテキストメッージに対する注意を促しています。
この事件は、二要素認証(2FA)のようなセキュリティ対策が、それ自体が攻撃の対象になり得ることを示しています。2FAはアカウントのセキュリティを強化するために広く推奨されていますが、この事件は2FAプロバイダー自体がセキュリティ侵害のリスクにさらされていることを示しています。これにより、ユーザーの電話番号が露出することで、フィッシングやスミッシングといった攻撃のリスクが高まります。
このようなセキュリティ侵害は、企業がセキュリティ対策を常に最新の状態に保つこと、特に外部からのアクセスを管理するエンドポイントに対して、適切な認証と認可の仕組みを導入することの重要性を強調しています。また、ユーザーに対しては、使用しているアプリケーションのセキュリティアップデートを定期的に確認し、インストールすることが推奨されます。
長期的な視点では、この事件は二要素認証の方法やセキュリティ対策の進化に影響を与える可能性があります。例えば、電話番号に依存しない認証方法への移行や、より高度なセキュリティプロトコルの開発が促進されるかもしれません。また、企業や組織は、セキュリティ侵害が発生した場合の対応計画を事前に準備し、迅速かつ効果的に対応できる体制を整えることが重要です。
from Twilio's Authy App Breach Exposes Millions of Phone Numbers.
