アメリカ証券取引委員会がSNSで偽のビットコイン承認投稿をしたのは「SIMスワップ攻撃」によるハッキングが原因

アメリカ証券取引委員会(SEC)が2024年1月22日に、同委員会のX(旧Twitter)アカウントが何者かに乗っ取られたのはアカウントに関連付けられた端末に対するSIMスワップ攻撃が行われたためだったと発表しました。
SEC.gov | SECGov X Account
https://www.sec.gov/secgov-x-account
SEC confirms X account was hacked in SIM swapping attack
https://www.bleepingcomputer.com/news/security/sec-confirms-x-account-was-hacked-in-sim-swapping-attack/
2024年1月10日に、SECのXアカウントがビットコイン現物ETFを承認したと偽の発表を行う問題が発生し、これによりビットコインの価格が急騰しました。皮肉にも、その直後にSECはビットコインETFを正式に承認しています。
米国証券取引委員会がXアカウントを乗っ取られ「ビットコインETFの上場を認める」と投稿する事態が発生＆投稿直後にビットコインの価格が急上昇 - GIGAZINE

FBIなどの関連機関と連携して原因の調査を行っていたSECは1月22日に、「事件から2日後に電気通信事業者と協議した結果、不正な人物が明らかな『SIMスワップ攻撃』でこのアカウントに関連するSECの携帯電話番号の管理権を取得したとSECは判断しました」と発表しました。
SIMスワップ攻撃とは、フィッシングなどで入手した被害者の個人情報を利用して電気通信事業者をだまし、被害者のSIMカードを攻撃者のSIMカードと入れ替えさせる手口のことです。被害者のSIMカードを入手すると、攻撃者は電話番号を用いた通話やテキストメッセージによる2段階認証を突破して、被害者のSNSのアカウントやネット銀行の口座などを乗っ取ってしまいます。
SECによると、今回のSIMスワップ攻撃はSECのシステム経由ではなく、通信事業者を欺くことで行われたとのこと。そのため、SECの内部システムやデータ、他のSNSアカウントなどに不正アクセスされた痕跡はこれまで見つかっていません。

SECは、攻撃者がどのようにして通信事業者を利用したSIMスワップ攻撃を行ったのかを調査するため、引き続き法執行機関に協力していると述べました。SECはまた、アカウントへのログイン時に問題が発生した際に多要素認証を無効にするようXのサポートセンターに依頼していたため、問題のXアカウントでは多要素認証が有効になっていなかったことも明かしました。なお、記事作成時点ではSECが持つすべてのSNSアカウントで多要素認証が有効になっているとのこと。
とはいえ、SIMスワップ攻撃に成功した時点で、ハッカーは電話番号に送られたワンタイムパスコードを入手できるようになっているため、仮に多要素認証が有効であってもXアカウントを侵害することは可能だったと、IT系ニュースサイトのBleepingComputerは指摘しています。
同様の被害に遭わないようにする対策として、BleepingComputerは「認証アプリを使うように設定しておくと、攻撃者がパスワードを変更した後でも、攻撃者がアカウントにログインすることはできなくなります。ですから、多要素認証はSMSではなく認証アプリやハードウェアセキュリティキーだけを使うようにすることが常に推奨されます」と呼びかけました。