米証券取引委員会(SEC)は2024年1月9日、公式X(ツイッター)アカウントがSIMスワップ攻撃の被害に遭い、重大なセキュリティ侵害に直面した。
この事件により、ビットコインのスポット上場投資信託(ETF)の承認に関する虚偽のメッセージが投稿され、暗号通貨市場で波乱の反応を引き起こした。
ハッカーがSECのXアカウントを掌握した方法
侵入から2日後、SECとその通信キャリアは、SIMスワップ攻撃という原因を特定した。この攻撃は、所有者が知らないうちに電話番号を別のデバイスに転送するものだ。これにより、SECのXアカウントへの不正アクセスが可能になった。
SponsoredSECは、侵害は同社のシステムではなく、通信事業者を通じて起こったと主張している。SECの電話番号をコントロールした後、攻撃者はSECのXアカウントのパスワードをリセットした。一方、法執行機関は、SIMスワップと攻撃者が関連する電話番号をどのように知ったかを調査している。
続きを読む注意すべき最も一般的な15の暗号資産詐欺
注目すべきことに、SECは連邦捜査局(FBI)、国土安全保障省、商品先物取引委員会(CFTC)、司法省(DoJ)、執行部と協力してこの問題を調査している。SECの監察官も調査に関与している。
驚いたことに、SECは2023年7月以降、アクセス上の問題からXアカウントの多要素認証(MFA)を無効にしていた。今回の情報漏洩の後、SECはようやくMFAを有効にした。
ボーリング・セキュリティは、「ログイン時に数秒の時間を節約することは、SIMを交換された後に詐欺によって引き起こされる数十億の損害に見合うものではないでしょう」と述べている。
このセキュリティの過失は大きな結果をもたらした。ビットコインETFに関する虚偽のツイートは、暗号資産市場で2億3000万ドルの清算を引き起こした。ビットコインの価格は48,000ドルまで急騰し、SECがそのツイートが虚偽であることを暴露した後に急落した。
この違反は、デジタル・コミュニケーションにおける強固なセキュリティの必要性を示している。無効化されたMFA機能は、利便性のためにセキュリティを犠牲にすることのリスクを指摘している。
この事件は、サイバー脅威に対する継続的な警戒の必要性を強調している。米国証券取引委員会のような組織にとって、デジタル資産とコミュニケーションを保護することは、社会的信頼と金融市場の完全性のために不可欠である。
