innovaTopia

Tech for Human Evolution

Authyユーザー警戒:数百万の電話番号がサイバー犯罪者の手に?

Authyユーザー警戒:数百万の電話番号がサイバー犯罪者の手に? - innovaTopia - (イノベトピア)

Last Updated on 2024-07-05 07:16 by admin

Twilioは、Authyマルチファクタ認証(MFA)アプリのユーザーに対し、サイバー犯罪者が電話番号を入手した可能性があると警告した。

サイバー犯罪者は、保護されていないアプリケーションプログラミングインターフェース(API)エンドポイントを悪用して、数百万のAuthy MFAユーザーの電話番号を確認した。

Twilioは、攻撃者がTwilioのシステムやその他の機密データにアクセスした証拠は見つかっていないが、予防措置として、すべてのAuthyユーザーに最新のAndroidおよびiOSアプリへの更新を求めている。

ShinyHuntersと名乗る脅威アクターが、Authyサービスに登録されたと主張する3300万の電話番号が記載されたCSVテキストファイルを流出させた。

このデータセットをGeminiやNexoのデータ侵害で流出したデータセットと組み合わせることで、サイバー犯罪者はSIMスワッピングやフィッシング攻撃を行い、対象の暗号通貨を盗む可能性がある。

Authyユーザーには、できるだけ早くアプリを更新し、フィッシングメッセージに注意するようアドバイスされている。

フィッシングメッセージを避けるためには、急かすようなメッセージには注意し、個人情報の更新や入力を求めるメール、メールの「From」アドレスが正規のものでない場合、リンクのURLが異なる場合、予期せぬ添付ファイルが含まれている場合など、フィッシングメールの兆候に警戒することが重要である。

AIの進化により、フィッシングメールはより巧妙になっているため、少しでも疑わしい場合は、メールの送信元を別の方法で確認することが勧められる。

【編集者追記】用語解説

  • Authy(オーシー):
    Twilioが提供する多要素認証アプリです。スマートフォンにインストールして使用し、オンラインアカウントのセキュリティを強化します。
  • 多要素認証(MFA):
    複数の認証方法を組み合わせてアカウントを保護する仕組みです。パスワードに加えて、スマートフォンのアプリやSMSなどで追加の確認を行います。
  • API(Application Programming Interface):
    ソフトウェア同士が情報をやり取りするための仕組みです。今回の事件では、このAPIの一部が適切に保護されていなかったことが問題となりました。
  • Twilio(トゥイリオ):
    クラウドコミュニケーションプラットフォームを提供する米国企業です。SMS、音声通話、ビデオ通話などの機能を開発者が簡単に自社アプリに組み込めるサービスを提供しています。
  • ShinyHunters:
    サイバー犯罪グループの名称です。過去にも多くの大規模データ漏洩に関与したとされています。

【参考リンク】
Twilioオフィシャルサイト(外部)
Authyオフィシャルサイト(外部)

How to use Two-Factor Authentication (2FA) with Authy

【関連記事】

Authyセキュリティ侵害で数百万の電話番号が露出、Twilioが対策を講じる

サイバーセキュリティニュースをinnovaTopiaでもっと読む

【ニュース解説】

Twilio社が提供するAuthyマルチファクタ認証(MFA)アプリのユーザーが、サイバー犯罪者によって電話番号が不正にアクセスされた可能性があるという警告が発表されました。この問題は、保護されていないアプリケーションプログラミングインターフェース(API)エンドポイントを悪用されたことにより発生しました。犯罪者はこのエンドポイントを使用して、数百万のAuthyユーザーの電話番号の有効性をテストし、有効な番号であれば、その番号に関連付けられたアカウント情報を取得していました。

この事件の影響を受け、Twilioはユーザーに対して最新のAndroidおよびiOSアプリへの更新を推奨しています。また、ShinyHuntersという脅威アクターがAuthyサービスに登録された3300万の電話番号を含むデータを流出させたことが報告されています。この流出データを他のデータ侵害事件で得られた情報と組み合わせることで、サイバー犯罪者はSIMスワッピングやフィッシング攻撃を通じて、暗号通貨を盗む行為を行う可能性があります。

フィッシング攻撃を避けるためには、メールに記載されたリンクや添付ファイルに注意し、メールの送信元が正規のものかどうかを確認することが重要です。また、AI技術の進化によりフィッシングメールがより巧妙になっているため、疑わしいメールを受け取った場合は、直接連絡を取って確認することが推奨されます。

この事件は、MFAシステムのセキュリティが完璧ではないことを示しており、ユーザーは自身のセキュリティ対策を常に見直し、更新する必要があります。また、企業はAPIのセキュリティを強化し、不正アクセスを防ぐための対策を講じることが求められます。このようなデータ侵害事件は、個人情報の保護とデジタルセキュリティの重要性を再認識させるとともに、今後のセキュリティ技術の発展に向けた課題を提起しています。

from Authy phone numbers accessed by cybercriminals, warns Twilio.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » Authyユーザー警戒:数百万の電話番号がサイバー犯罪者の手に?