米SEC、アカウント乗っ取りについて詳細語る ビットコイン現物ETFの偽投稿で
「昨年夏から多要素認証が無効だった」
米証券取引委員会(SEC)の広報担当者は22日、ビットコイン(BTC)現物ETFについての虚偽の投稿がXで行われた件について新たな詳細を述べた。
SECのXアカウントの多要素認証は、昨年夏から偽投稿後まで無効になっていたとしている。
背景として、日本時間10日にSECのアカウントが乗っ取られ、まだその事実はなかった段階で、ビットコイン現物ETFが承認されたという虚偽の情報を発信していた。
これまでに、SIMスワップという手法により不正アクセスされたこと、およびSECが「多要素認証」を有効にしていなかったことが明らかになっていた。
SECは、乗っ取りはSECのシステムが破られた結果ではなく、Xアカウント(@SECGov)と紐づいている電話番号を、誰かが不正操作したことによると説明している。
関連:SECアカウント侵害の背後にSIMスワップ攻撃か、ビットコインETFフェイク発表で
関連:米下院議員ら、SECに説明求める ビットコイン現物ETFフェイク投稿で
SECの広報担当者は今回、次のように述べた。
多要素認証(MFA)は以前、SECのXアカウント(@SECGov)で有効になっていたが、アカウントへのアクセスに問題があったため、SECスタッフの要請により、2023年7月に無効にされていた。
MFAを無効にしたことで、スタッフはアカウントにアクセスできるようになった。しかしその後、米国時間1月9日にアカウントがハッキングされた形だ。ハッキングを受けて、SECスタッフは再度MFAを有効にしたが、それまではずっと無効の状態だっとしている。
ビットコインETFとは
ビットコインを投資対象に含んだ上場投資信託(Exchange Traded Fund)のこと。投資信託とは、投資家から集めたお金を1つの資金としてまとめ、株式や債券などに投資して運用される金融商品。運用成果が投資家それぞれの投資額に応じて分配される仕組みになっている。投資信託の中でもETFは証券取引所に上場しているため、株式と同様に売買ができる。
▶️仮想通貨用語集
関連: 初歩から学ぶビットコインETF特集:投資のメリット・デメリット、米国株の買い方まで解説
FBIなどが調査中
SECの広報担当者は、現在、SECは多要素認証が可能なすべてのソーシャルメディアアカウントでそれを有効にしているとも続けた。
「SIMスワップ」攻撃は、誰かの電話番号を許可なく別のデバイスに転送するために使用するものである。
広報担当者は、アカウントと紐づいた電話番号へのアクセスは、SECのシステムへの侵入ではなく、通信事業者経由で行われたとも述べた。
また、現在FBIなど法執行機関が、不正投稿を行った者がどのようにして通信事業者にアカウントのSIMを変更させたのか、またSECアカウントに関連付けられている電話番号をどのようにして知ったのかを調査中だと話している。
関連:フレンドテックのセキュリティ弱点とSIMスワップ攻撃の危険性とは?
画像はShutterstockのライセンス許諾により使用
「仮想通貨」とは「暗号資産」のことを指します