eSecurity Planetのコンテンツおよび製品推奨は、編集上の独立性を保っています。パートナーへのリンクをクリックいただくことで、当社が収益を得る場合があります。 詳細はこちら
SpaceXおよびStarlinkに関連する公式Xアカウントが侵害され、一時的に不正な暗号資産詐欺の宣伝に悪用されたと報じられています。
報道によると、攻撃者はSam Catmanというアカウントを使用し、このアカウントにはSpaceXの人工知能関連の取り組みに関連しているかのように見せかける虚偽のバッジが表示されていました。
その後、SpaceXおよびStarlinkの公式Xアカウントが、SCATMANという暗号資産を宣伝する投稿をリポストしたとされており、これによって詐欺に正当性があるかのような印象を与えていました。
本稿執筆時点では、SpaceXもXも、報じられた侵害について公式に認めておらず、アカウントがどのようにアクセスされた可能性があるかについての詳細も明らかにしていません。
SpaceXおよびStarlinkのXアカウントハッキング事件の要点
- SpaceXおよびStarlinkの公式Xアカウントが侵害され、不正な暗号資産SCATMANの宣伝に利用されたと報じられています。
- 今回の「ラグプル」により、不正投稿が削除されるまでの間に約12万5,000ドル相当のイーサリアムが生成されたとされています。
- サイバー犯罪者は信頼された認証済みのソーシャルメディアアカウントを乗っ取り、暗号資産詐欺を短期間で急速に宣伝する手口を用いています。
- 過去のXアカウント乗っ取り事案の多くは、高度なエクスプロイトではなく、フィッシングをはじめとするソーシャルエンジニアリング攻撃に起因しています。
SCATMAN暗号資産のラグプルはどのように行われたのか
ブロックチェーン分析プラットフォームのLookonchainによると、攻撃者は10兆枚のSCATMANトークンを発行した後、その全供給量を約59ETH(約10万8,000ドル相当)で売却したとされています。
Lookonchainはさらに、別のウォレットが追加で5,928万枚のSCATMANトークンを約14.7ETH(約2万7,000ドル相当)で売却していたことも特定しました。
この2つのウォレットを合わせると、詐欺が終了するまでの間に約12万5,000ドル相当のイーサリアムが生成されたとされています。
今回の事件は、いわゆる「ラグプル」の典型的なパターンをたどっています。攻撃者が暗号資産トークンを作成し、投資家に購入を促した後、自身の保有分を急速に売却するか、トークンの流動性を枯渇させる手口です。
流動性が消失すると、残された投資家は実質的に無価値となった資産を保有することになり、資金を取り戻す手段はほとんど残されません。
オンラインで共有されたスクリーンショットでは、不正なリポストがSpaceXの通常のコンテンツに紛れ込んでおり、明らかなアカウント乗っ取りではなく、一見正規の宣伝のように見えるものとなっていました。
本稿の公開時点で、これらのリポストは該当アカウントから既に削除されています。
ハッカーが認証済みソーシャルメディアアカウントを狙う理由
今回の事件は、攻撃者が著名なソーシャルメディアアカウントを乗っ取り、不正な暗号資産プロジェクトを宣伝する事案が増加している傾向を反映しています。
サイバー犯罪者はゼロから信頼を築くのではなく、著名な組織や公人、政府機関がすでに確立している信頼を利用します。
認証済みアカウントからの投稿はたった一つでも数百万人のフォロワーに瞬時に届く可能性があり、ユーザーがその宣伝を正当なものだと信じてしまう可能性を高めます。
近年、同様の事件が発生しており、2024年にはSECの公式Xアカウントが侵害され、ビットコインの現物型上場投資信託(ETF)の承認を虚偽で発表する事案が起きています。
他の著名人やメディア関係者のアカウントも、不正な暗号資産トークンの宣伝に悪用された事例があります。
SpaceXブランドを騙った暗号資産詐欺も、今回が初めてではありません。
他のキャンペーンでも、SpaceXへの投資機会を装った偽の情報がソーシャルメディア上で拡散され、投資家に不正なトークンを購入させた後、資金が消失するという手口が用いられてきました。
現時点で正確な侵害手法は判明していませんが、過去のXアカウント乗っ取り事案はソーシャルエンジニアリング攻撃に起因するケースが多く見られます。
攻撃者は、プラットフォームのセキュリティ通知やアカウントポリシーに関する警告を装ったフィッシングメールを用いて、ログイン認証情報を窃取することがよくあります。
また別のケースでは、ソーシャルメディアアカウントに紐づく電話番号やリカバリー手段への不正アクセスにより、攻撃者が標準的なアカウント保護機能を回避できてしまう場合もあります。
公式ブランドアカウントは高い信頼性を持つため、たとえ短時間の侵害であっても、組織が制御を取り戻すまでの間に数百万人のユーザーが不正コンテンツにさらされる可能性があります。
組織がソーシャルメディアアカウントの乗っ取りを防ぐ方法
著名なソーシャルメディアアカウントを運用する組織は、これらを単なるマーケティングチャネルとしてではなく、重要な業務資産として扱うべきです。
組織は以下の対策により、ソーシャルメディアアカウント侵害のリスクを軽減できます。
- フィッシング耐性のある多要素認証を有効化すること。可能であればハードウェアセキュリティキーを使用するのが望ましい。
- 管理者アクセス権を制限し、公開・セキュリティ・アカウント管理の各役割を分離すること。
- アカウントのリカバリー設定、連携アプリケーション、管理者権限を定期的に監査すること。
- 機密性の高い投稿には承認制の管理を伴う、役割ベースの公開ワークフローを使用すること。
- 不正投稿やアカウントの変更、不審な挙動がないか、ソーシャルメディアアカウントを継続的に監視すること。
- ソーシャルエンジニアリング攻撃対策として、従業員に二次検証ステップを追加するよう教育すること。
- ソーシャルメディアアカウントの侵害やブランドリスクを想定したシナリオを用いたシミュレーションで、インシデント対応計画をテストすること。
これらの対策を総合的に講じることで、組織はアカウント乗っ取りの被害範囲を抑え、レジリエンスを高めることができます。
調査が続く中、今回報じられたSpaceXおよびStarlinkの事件は、信頼された(オンライン上の)アイデンティティが、暗号資産詐欺による迅速な利益を狙う金銭目的の攻撃者にとって、依然として価値ある標的であり続けていることを改めて示す事例と言えます。
Ken Underhill
Ken Underhill is an award-winning cybersecurity professional, bestselling author, and technology leader with more than 25 years of experience in IT, cybersecurity, and risk management. His career spans network administration, incident response, penetration testing, and entrepreneurship, giving him firsthand experience helping organizations reduce risk and ensure compliance. Ken is also a former nurse and combat medic and he uses this background to break down complex cybersecurity topics into digestible content for a broad, global audience.
A multi-exit cybersecurity founder, Ken has spent decades helping organizations strengthen their security posture, manage risk, and navigate complex technology challenges. His expertise includes overall cybersecurity strategy, cloud security, incident response, risk management, security awareness, and emerging threats affecting businesses. Ken is also an advisor to multiple startups on AI security and risk.
In addition to his hands-on industry experience, Ken is a cybersecurity newsletter writer for TechnologyAdvice, where he covers cybersecurity news/trends and actionable best practices for business and IT professionals. Ken is also an educator with over 2 million people going through his courses over the years. He has won the Global Cybersecurity 40 under 40 (2x winner), the Cyber Champion award from Women’s Society of Cyberjutsu, and the 2019 SC Media award for Outstanding Educator. Ken is also a volunteer with organizations like Minorities in Cybersecurity, Black Girls Hack, and the Whole Cyber Human Initiative, which helps veterans transition into security careers.
Ken holds a Master of Science in Cybersecurity and Information Assurance from Western Governors University and a Bachelor of Science in Information Systems, with a major in Cybersecurity Management, from Strayer University. His certifications include the Certificate of Cloud Security Knowledge (CCSK), Certified Ethical Hacker (CEH), and Computer Hacking Forensic Investigator (CHFI) and he is a former adjunct professor of Digital Forensics. Ken also had a streaming cybersecurity television show from 2020-2022 that reached over 200K monthly viewers around the world.
His work and expertise have been featured in Forbes, Reader’s Digest, Medium, TechRepublic, Fox, NBC, CBS, Dark Reading, MSN Money, and other leading publications and media outlets, making him a trusted voice on cybersecurity, election security, and privacy.
翻訳元: https://www.esecurityplanet.com/threats/spacex-and-starlink-x-accounts-hacked-in-crypto-scam/