Twilioは、お客様データのセキュリティが最も重要であると考えており、セキュリティを脅かす可能性のあるインシデントが発生した場合、透明性のある方法で発生事由・事実経過をお伝えしております。この視点に立ち、お客様の情報に影響を与えた今回のインシデントの概要と弊社対応について以下にお知らせいたします。
事実経過
2022年8月4日、Twilioは、従業員の認証情報を盗むことを目的とした高度なソーシャルエンジニアリング攻撃により、ごく一部の弊社顧客アカウントに関する情報が不正にアクセスされたことを認識しました。弊社の従業員に対するこの広範な攻撃は、一部の従業員を騙して認証情報を提供させることに成功しました。その後、攻撃者は盗んだ認証情報を使って弊社の内部システムのいくつかにアクセスし、特定の顧客データにアクセスすることができました。弊社は、このインシデントの影響を受けたお客様に継続的にお知らせを行い、また直接やり取りをさせていただいております。弊社の調査は未だ初期段階にあり継続中です。
具体的には、現従業員と元従業員が、弊社のIT部門を装ったSMSメッセージを最近受け取ったと報告しています。典型的なSMSメッセージ本文は、従業員のパスワードの有効期限が切れた、またはスケジュールが変更されたことを示唆し、攻撃者が管理するURLにログインする必要があることを伝えていました。URLには「Twilio」、「Okta」、「SSO」などの言葉が使われ、ユーザーを騙してTwilioのサインインページを模したランディングページに誘導するリンクがクリックされるよう仕向けています。SMSメッセージは、米国のキャリアネットワークから発信されました。私たちは、米国の通信事業者と協力して攻撃者をシャットダウンし、さらに、悪質なURLを提供していたサイトのホスティングプロバイダーと協力して、これらのアカウントをシャットダウンしました。脅威者(攻撃者)は、情報源から得た従業員の名前と電話番号を照合する高度な能力を持っているように思われます。
フィッシングのSMSメッセージ(サンプル):
弊社では、同様の被害を受けたとの連絡を他社からも受け、通信事業者と連携して悪質なメッセージを停止させるとともに、レジストラやホスティングプロバイダーと連携して悪質なURLを停止させるなど、脅威への対処を行いました。このような対応にもかかわらず、脅威者はキャリアやホスティングプロバイダーをローテーションして、攻撃を再開し続けています。
これらのことから、脅威者は組織化され、巧妙かつ計画的に行動していると考えています。弊社は特定の脅威者を未だ特定できていませんが、法執行機関と連携し、この問題に取り組んでいます。ソーシャルエンジニアリングによる攻撃は、その性質上、複雑で高度なものであり、最も高度な防御にさえ挑戦するように作られています。
これまでの対処
弊社ではインシデントを認識した後、弊社セキュリティチーム側で侵害された従業員のアカウントへのアクセスを無効にし、攻撃への対処を行いました。また現在進行中の調査を強化するため、大手のセキュリティフォレンジック(鑑識捜査)会社に依頼をかけています。
弊社はまた、ソーシャルエンジニアリング攻撃への警戒を従業員に徹底させるため、セキュリティトレーニングを再度強化し、数週間前に出現し始めた悪意のある行為者が利用している特定の手口に関するセキュリティ勧告を発表しております。またここ数週間は、ソーシャルエンジニアリング攻撃に関する意識向上トレーニングの義務化も行っています。さらに調査の進展に伴い、技術的な予防措置の追加を検討しています。
脅威者は限られた数のアカウントのデータにアクセスすることができたため、影響を受けたお客様には個別に詳細をご連絡しています。Twilioから連絡がない場合は、お客様のアカウントがこの攻撃の影響を受けたという形跡が現時点で確認されていないことを意味します。
弊社では信頼を第一に考えており、弊社システムのセキュリティは、お客様の信頼を獲得し維持するための重要な要素であると認識しています。このような事態が発生したことを心からお詫び申し上げます。弊社では、最新の高度な脅威検知・抑止手段を用いて、充実したセキュリティチームを維持していますが、このようなお知らせをしなければならないことを心苦しく思っています。弊社ではこのインシデントの徹底的な検証を行い、情報流出の根本原因に対処するための改善策の見極め・実装を直ちに開始します。お客様の弊社サービスのご利用・お付き合いに感謝申し上げるとともに、影響を受けたお客様を最大限支援いたします。
今後の対応
Twilioのセキュリティ・インシデント・レスポンス・チーム(SIRT)は、何か進展があった場合、このブログ記事を追記・修正いたします。
なお、ポータル「twilio.com」以外の場所で弊社がパスワードを尋ねたり、二要素認証の情報提供を求めたりすることは決してございません。