Kurt Got Got

 (fly.io)
1 ポイント 投稿者 GN⁺ 2025-10-10 | 1件のコメント | WhatsAppで共有
  • Fly.ioのTwitterアカウントがフィッシング攻撃を受けて乗っ取られる事件が発生
  • CEOのKurt Mackeyが巧妙なフィッシングメールによってアカウント情報を漏えいした経緯を説明
  • Twitterアカウントは社内で重要性の低い資産と見なされ、セキュリティ上の優先順位から外れていた
  • フィッシング対策として**フィッシング耐性のある認証(MFA、Passkeys、FIDO2など)**の重要性を強調
  • この事件をきっかけにTwitterアカウントのMFA強化とセキュリティ認識の見直しの必要性に言及

Fly.ioのTwitterフィッシング事件の概要

  • Fly.ioのTwitterアカウントがフィッシング攻撃を受けて乗っ取られた
  • CEOのKurt Mackeyが巧妙に設計されたフィッシングメールを受け取り、アカウント情報を入力して攻撃にさらされた
  • フィッシング攻撃が成功した本質的な背景には、そのTwitterアカウントの客観的な重要性が低く認識されていたことと、管理チームが若いインターネット文化に不慣れだったという心理的な脆弱性があった

フィッシング攻撃の具体的な経緯

  • Fly.ioは以前からTwitterチャンネルの運用管理を外部委託先に一部任せており、クリエイティブなミームなど新世代のコンテンツに十分慣れていなかった
  • 今回の攻撃で使われたフィッシングメールは、実際のx.com(Twitter)の警告通知のように見えるよう設計されており、経営陣の不安を刺激する心理的ポイントを突いていた
  • Kurtは1Passwordからアカウント情報を取り出し、攻撃者が用意したフィッシングサイトにログインしてしまった
  • Twitterアカウントのメールアドレスが攻撃者所有のものに変更されるなど、攻撃後すぐに痕跡を発見し、社内ですべてのアクセス権を点検・遮断する段階を踏んだ

フィッシング防御戦略と組織のセキュリティ状況

  • 一般にフィッシング対策は「従業員教育」だけでは限界があり、誰でも誤ってクリックし得ることを認める必要がある
  • **フィッシング耐性のある認証(U2F、FIDO2、Passkeysなど)**によって相互認証の仕組みを適用することが根本対策である
  • Fly.ioの社内インフラはGoogle IdPによるSSOと安全なMFAで保護されており、Twitterやレガシー領域にのみ相対的な脆弱性が存在していた
  • 今回の事件を機に、共有SNSアカウントなどの非中核領域にも同水準の認証セキュリティを適用する必要があると認識した

インシデント対応と復旧プロセス

  • 攻撃者は直ちにすべてのセッションを無効化し、2FAの再設定を試みたため、Fly.io側が迅速にパスワードを変更してもアカウント復旧までには時間を要した
  • X.comの手動サポートを受け、約15時間でアカウント権限を完全に回復した
  • 全体としてユーザーや顧客情報の流出はなく、短期的なブランドイメージの毀損とエンジニアの対応業務負担が発生した
  • 攻撃者がFly.ioのTwitter履歴を一部削除したが、実質的な被害は大きくなかった

結論と教訓

  • 今回の事件の最大の教訓は、「CEOであってもメールを信頼しやすく、フィッシングは誰でも被害に遭い得る」ということだ
  • 今後はすべての重要アカウントにPasskeysベースのMFAを必須適用し、SOC2などのセキュリティコンプライアンスの事例として本件を活用する計画である
  • 組織内のセキュリティ意思決定において、**「フィッシング耐性のある認証とSSO IdPの適用」**がなされていない資産があるなら、必ずリスク要因として認識すべきである
  • 今回の事故が類似組織に警鐘を鳴らす事例となることを願う

関連記事

1件のコメント

 
GN⁺ 2025-10-10
Hacker Newsの意見

  • 前の会社では毎年ペンテストのセキュリティ監査を受けるたびに、監査会社がいつもフィッシングやソーシャルエンジニアリング攻撃も試そうと提案してきたが、必ず成功してしまうので勧めないと言われていた。
    印象に残っている話としては、ペンテスト会社が駐車場にわざとUSBを置いておくと、誰かが必ずそれを拾ってオフィスのPCに挿してみようとし、結果的に侵害されることがあった。
    フィッシングも実際にはそれほど変わらない。
    Passkeysを設定する良いタイミングだ。Passkeysガイドを参照。

    • うちの会社でも社内チームを相手に定期的にフィッシング訓練をしているが、クリックしない割合は90%に達している(正確な数字には自信がない)。
      それでも10%が1500人だと改めて驚かされる。
      最近はフィッシングメールの送信ドメインを社内ドメインに変えてきて、普段出る外部メールの警告バナーが表示されなかったため、私も引っかかった。

    • 誰かが拾ってきたUSBを挿して侵害されたという話が出たが、私の好きな引用がある。
      2012年のイラン核施設攻撃(Stuxnet)に関与した匿名の関係者の言葉だ。
      「手に持っているUSBについて何も考えない愚か者は、いつだって必ずいる」。

    • 去年、会社のメールにフィッシングメールが届いたが、かなり説得力があった。
      フィッシングだとは分かっていたが、本当に忙しかったら引っかかっていたかもしれない。
      こういう精巧なフィッシングサイトを見ると、わざとサンドボックス環境で開き、フォームにはダミー情報だけ入れて攻撃者の時間を無駄にさせるのが好きだ。
      ところが後で分かったのは、それがうちの会社が雇ったペンテスト会社から送られたもので、URLに私のアカウントと結び付いたコードが入っていたため、何も入力していないのにフィッシングに引っかかったと報告されたことだ。
      こんな基準でフィッシング成功を判定するのなら、ペンテストにはあまり意味がないと思う。

    • USBドライブなどから実行ファイルを無造作に実行して侵害されるのであれば、passkeysも役に立たない。
      ソーシャルエンジニアリングでランダムな実行ファイルをインストールさせるような形でも同じだ。

    • StuxnetもまさにこうしてUSBドライブ経由で配布されたと言われているが、正直いまの時代にこういう手口がまだ通用するのかはよく分からない。

  • 以前、ほとんどフィッシングに引っかかりかけたことがある。
    ドメイン名が少しだけ変えられていたのを見落としてアクセスしてしまったが、ハードウェアウォレットを使っていたおかげで防げた経験だ。
    どんな人でも忙しかったり疲れていたり、一瞬気が緩めばフィッシングに遭う可能性があると痛感した。
    Thomasの言う通り、すべてのサービスでpasskeysを使うことが重要だ。

    • Appleのエコシステムに慣れているなら、iOSアプリでPassKeyを実装する方法を自分で整理したチュートリアルがある。

    • 反論を言うなら、passkeysはまだ混乱しやすく制約も多いので、優れたパスワードマネージャーと強力なパスワードを使うのと比べて大きな利点はないと思う。

    • 「誰もフィッシングに100%安全ではない」という言葉には強く共感する。
      数年前には、セキュリティ責任者でさえテスト中にフィッシングに引っかかるよう仕向けたことがある。
      本当に誰にでも危険があると感じる。

  • Fly.io詐欺フィッシングの件では、もし攻撃が本当に大きな被害を出していたなら、こんなふうに軽く扱われることはなかったと思う。
    それでも、誰かが実際にそのリンクで暗号資産を失っていたなら、Fly.io側の責任が問題になるのではないかという懸念は残る。

  • フィッシング訓練にはあまり効果がないという研究結果がある。
    "Understanding the Efficacy of Phishing Training in Practice"を参照。

    • 「パスワードを入力してはいけないWebサイトには入力せず、入力すべき場所にだけ入力してください」という類いの助言は、結局のところ同語反復だ。
      2FAのSMSで「このコードを誰にも教えないでください!」と言いながら、実際にはログイン時にそのWebサイトへ自分で入力して渡す構造に似ている。
      こうした警告メッセージにはいつも強いもどかしさを感じる。

    • 私は規制の厳しい業界で働いているが、数年前に従業員の1人がフィッシングに遭った後、規制当局が5年分のフィッシングテストと教育記録の提出を求めてきた。
      私たちのような立場では、こうした訓練も必要悪の役割を果たしている。

    • 元の記事でも同じ論文へのリンクが挙げられている。

    • 「うちのZoomer(若い世代)の子どもが言うには、私たちみたいな大人はダサすぎてこういうことでは信用できないらしい」という話には共感する。
      それでもユーモアとして受け止める姿勢は良いと思う。

  • 「Xに投稿されたコンテンツが違反した」というフィッシングメールはあまりに多く、ほぼ毎週10通以上受け取る。
    そのせいでメールフィルタを何度も変えなければならなかった(単にXという文字を拾えばよいわけではなく、詐欺師は文言も絶えず変えるため)。
    もともと使っていたメールセキュリティサービスも結局乗り換えたが、いくつかの業者を試した中ではCheck PointだけがX関連のフィッシングメールをすべてブロックしてくれた(広告ではなく、参考情報として)。
    セキュリティ会社の立場でも、実際にはフィッシングの兆候が明白なのに見逃していることが多く、恥ずかしいくらいだった。

  • 私も数か月前にまったく同じタイプのフィッシング攻撃に遭ったことがある。
    UIエンジニアリングのレベルは本当にすごかった。
    フィッシング画面のスクリーンショット共有

    • ChromiumがブラウザにAI機能をローカルで追加する開発をしているという話があるが、いつかこうしたものがセキュリティチェックにも使えるのではと思う。
      たとえば外部リンクが新しいタブで開かれたとき、AIが「このページは有名サイトのように見えるがURLが違う」と検知して警告してくれるかもしれない。
      上位1000件ほどの有名サイトだけを対象にしても、フィッシング被害はかなり防げるはずだ。

    • imagecontent-x.com のようなURLは、誰にとっても警戒すべき手がかりだと思う。

    • その場合、ブラウザは自動でログイン情報を埋めなかったのだろうかと気になる。
      legitなトラフィックでもこういうことがよく起きるのか、またアドレスバー横の鍵アイコンが正しく表示されるのかも気になる。

  • 攻撃者が偽のランディングページとフィッシングメールを非常にもっともらしく作っていたのを見ると、相当なものだと思う。
    普段は暗号資産まわりに詳しくないので、攻撃者たちが「成功の可能性は低く、被害もない」と言った根拠が何なのか気になる。
    偽のランディングページで使われたウォレットを追跡して、実際に被害がなかったか確認できるのか知りたい。

  • きちんと動くパスワードマネージャーの重要性を改めて感じた。
    Webサイト運営者なら、パスワードマネージャーが壊れないよう配慮すべきだ。
    サイトでパスワードの自動入力が効かないなら、それは即座に非常に警戒すべき危険信号だ。
    コードベースの2FAはフィッシング防止にはまったく役に立たないと思う。
    私がログインすれば攻撃者も2FAコードを取得できるのだから、方式に関係なく無意味だ。

    • haveibeenpwned.com の作者にもフィッシング被害の経験がある(パスワードマネージャーを使っていても引っかかった)。

    • 技術的に熟達した人でもパスワードマネージャーを使っていながらフィッシングに遭った事例を、どう整合的に考えればよいのか気になる。

    • 自動入力機能は無効にすべきだ。
      最近の攻撃ではtapjackingのような手口もあるため危険だ。

  • なぜこの記事が上位に上がっているのか不思議だったが、最後に著者の名前(Kurt)を見て納得した。
    教訓は「Kurtでもやられるなら、誰でもやられうる」ということだ。
    今回の被害は非常に小さかったが、誰にでも盲点はあり、とくに無意識に放置された隅にこうした脆弱性は潜んでいる。
    もし攻撃者が単なる詐欺師ではなく本当に悪意のある相手だったなら、会社の公式アカウントを起点にさらにソーシャルエンジニアリングを進められた可能性もあると思う。

    • Kurtという人物のことを言っているのだと思う。

  • 記事自体も素晴らしいが、フィッシングの手口が本当に精巧だと感じた。

    • このフィッシング詐欺は最近流行しているもので、被害に遭ったのは自分たちだけではないと聞いた。
      ただ、こういうことが起きるまでは知らなかった。

    • 自虐的なユーモアの感覚が面白かった。
      私自身も以前に一度か二度、ほとんど引っかかりかけた記憶がある。
      たいていは一度クリックした直後に「あっ」と気づいて、すぐにアカウントをロックして被害を防いだことがある。
      エピソード参考画像