Twitterは18日、15日に発生したアカウント侵害インシデントについて、判明している情報をブログで公表した(Twitterのブログ記事)。

これまで本件に関する情報はTwitter Support(＠TwitterSupport)アカウントで提供されていたが、ブログ記事では既に公表済みの情報も含め、日本時間7月18日12時35分時点の情報がまとめられている。ただし、現時点では調査が継続中であることから調査や復旧作業の妨げとなる情報は伏せられており、公表可能になった時点でさらなる詳細情報を公表する計画だという。

攻撃者は複数のTwitter従業員に対してソーシャルエンジニアリングの手法を用い、Twitter内部のシステムにアクセス可能な認証情報を入手したとみられる。この認証情報により、内部のサポートチームだけが使用可能なツールにアクセスし、130のTwitterアカウントを攻撃。うち45アカウントで攻撃者はパスワードリセットに成功し、ログインしてツイートを投稿した。さらに最大8アカウントからは「Twitterデータ」ツールを用いてアカウント情報をダウンロードしたそうだ。これら8アカウントは認証済みアカウントではないとのこと。

Twitterでは攻撃を認識後すぐにアカウントを奪還し、内部ツールへのアクセスをブロックしたほか、多くのアカウントを制限し、最近パスワードを変更したアカウントは一時ロックアウトしている。ターゲットになった130アカウントについて、攻撃者が以前のアカウントパスワードを閲覧することはできなかったが、内部サポートツールユーザーの一部に表示される電子メールアドレスや電話番号などの個人情報は閲覧可能だったという。乗っ取りに成功したアカウントでは他の情報にアクセスできた可能性もある。

今後、Twitterではロックアウトが解除されていないすべてのアカウントを復元し、捜査機関とも協力して調査を継続する。再発防止策としてはシステムのセキュリティ強化のほか、従業員に対してはソーシャルエンジニアリング攻撃対策のトレーニングプログラムなどを実施していくとのことだ。

Twitchが米軍のeスポーツチャンネルに対し、本当に抽選が行われるかどうか怪しい賞品で入隊勧誘ページへ誘導することを禁じたそうだ(Kotakuの記事、 The Nationの記事、 Viceの記事、 The Vergeの記事)。

米軍では陸軍・海軍・空軍のeスポーツチームがそれぞれのTwitchチャンネルを通じて入隊の勧誘を行っている。年齢制限の必要なコンテンツを配信しているわけではないため、Twitchアカウントを作成可能な13歳以上なら誰でもアクセス可能だという。米海軍のTwitchチャンネルではプロフィールに「他の人は一晩中画面を見続けてはいけないと君に言うだろうが、我々はそれに給与を支払う」などと記載(ゲーム画面とは言っていない)しているそうだ。

問題となったのは、自動送信とみられるチャットでのメッセージだ。メッセージはXbox Elite (Wireless Controller)Series 2が抽選で当たるという内容だが、リンク先は入隊勧誘ページで抽選に関する説明は一切ないという。TwitchはKotakuに対し、規約上同プラットフォームでのすべての宣伝は適用される法律に従う必要があると述べ、このような宣伝は規約違反となるため削除を命じたとのこと。

また、米陸軍のTwitchチャンネルが批判的なユーザーをブロックしたため、言論の自由や請願権の政府による制限を禁じる合衆国憲法修正第1条に違反するとも指摘されている。ドナルド・トランプ大統領は個人のTwitterアカウント(@realDonaldTrump)で批判的なユーザーをブロックして訴えられ、一審・二審ともに違憲との判断が示されている。