世界を動かす技術を、日本語で。

カート・ゴット・ゴット

2025年10月9日原文(fly.io)

概要

  • Fly.ioのTwitterアカウントが フィッシング攻撃 で乗っ取られた事例
  • CEOの Kurt Mackey が標的となった経緯と心理的要因
  • フィッシング耐性認証 (FIDO2/Passkeys等)の重要性
  • 共有アカウント管理の 運用ミスと改善点
  • 今後の教訓と セキュリティ強化策

Fly.ioのTwitterアカウント乗っ取り事件

  • Fly.ioの公式Twitterアカウントが フィッシング攻撃 により乗っ取り被害
  • CEOの Kurt Mackey が標的となり、攻撃メールに反応してしまった経緯
  • 攻撃者は「dank developer memes」に馴染みのない 経営陣の心理的ギャップ を巧みに突いた設計
  • 社内ではTwitter運用を 外部の若手契約者 に委託しており、アカウント情報は1Passwordで共有管理
  • Kurtが1Passwordから認証情報を取得し、 偽サイト(members-x.com) にログインしたことで被害発生

攻撃が成功した理由

  • Twitterアカウント が業務インフラから外れた「真剣に管理しない領域」にあった
  • 1Passwordの ブラウザプラグイン を利用していれば偽サイトへの入力を防げた可能性
  • フィッシング攻撃は「 クリックしない教育」だけでは防げず、 技術的対策(FIDO2/Passkeys等) が不可欠
  • Fly.ioの主要インフラはGoogle IdPと フィッシング耐性MFA で保護されているが、Twitterは例外的に旧来の運用

事件対応と影響

  • 攻撃者は即座に 全トークンをリセットし2FAを再設定
  • パスワードは短時間でリセットできたが、完全回復には X.com側の対応で約15時間 を要した
  • 攻撃中はアカウントの悪用や顧客被害は発生せず、主に ブランドイメージ低下 と余分な対応工数が発生
  • 過去の投稿履歴も一時的に 削除 されたが、深刻な被害には至らず

得られた教訓と今後の対策

  • CEOのメール閲覧習慣 もリスク要因となり得る
  • 今後は Passkeys等のフィッシング耐性認証 をTwitterにも適用
  • 共有アカウントやレガシー運用の 見直しと管理徹底 が必要
  • どんなサービスも フィッシング耐性MFA または SSO+MFA で保護するべきという結論
  • 「自分たちの失敗を他山の石に」という 教訓

まとめ

  • フィッシング攻撃は誰でも被害者になり得る 現実
  • 技術的対策( FIDO2/Passkeys、SSO+MFA)こそが最も効果的な防御策
  • レガシーな運用や「つい軽視しがちな領域」ほどリスクが高い
  • 失敗事例から 運用改善とセキュリティ強化 への意識改革の必要性

Hackerたちの意見

フィッシングにあいそうになってから(ドメイン名の「s」の上に小さなストレスマークがあるのに気づかず、ハードウェアウォレットを使ってたおかげで攻撃を完全に防げたけど)、誰でもフィッシングにあう可能性があるって気づいた。忙しかったり、外出してたり、疲れてたりして、ちゃんと確認しないのを狙ってるんだよね。トーマスが言ってるように、すべてにパスキーを使った方がいいよ。

Appleに詳しいなら、iOSアプリ向けの基本的なパスキー実装についてのチュートリアルを書いたよ。ここにあるよ。

反論:パスキーは使わない方がいいよ。混乱してるし、制限が増えるだけで、パスワードマネージャーの良い長いパスワードに比べて何のメリットもないから。

誰でもフィッシングにあう可能性があるって気づいた 何年か前、テストとしてうちの情報セキュリティ責任者がフィッシングにあったんだ。誰も安全じゃないね :)

だから、ちゃんと機能するパスワードマネージャーが大事なんだ。ウェブサイトの運営者としては、それを壊さないように気をつけるべき。ウェブサイトでパスワードが自動入力されないだけで、すぐに警戒しなきゃって思うよ。一方で、コードベースの2FAはフィッシングには全く役に立たない。ログインする時はログインするし、2FAコードももらっちゃうからね(SMSでもアプリでも関係なく)。

投稿の中のテクノロジーに詳しい人がパスワードマネージャーを使ってたのにフィッシングにあったっていうのはどういうこと?

オートフィルをオフにしておけ、現代の攻撃に利用されるから、タップジャッキングとか。

https://haveibeenpwned.com のクリエイターも一度フィッシングに引っかかったことがあるんだ(マジで)、彼はパスワードマネージャーを使ってるのに。

前の会社で年に一度のペンテスト監査をやってた時、セキュリティ監査会社はいつもフィッシングやソーシャルエンジニアリング攻撃を提案してたけど、毎回成功するからやめた方がいいって言ってた。一番印象に残ってるのは、ペンテストしてる会社の駐車場にUSBメモリを投げ入れて、誰かがそれをワークステーションに差し込んで中身を見ようとして、やられちゃうってこと。フィッシングもそんなに変わらないよね。パスキーを設定するいいリマインダーだね。

迷子のUSBメモリがStuxnetが展開された方法だって言われてるよね。正直、今の時代にそれが通用するとは思えないけど。

USBドライブで見つけたランダムな実行ファイルを実行してるなら、パスキーなんて役に立たないよ。同じことが、ソーシャルエンジニアリングでランダムな実行ファイルをインストールさせられる場合にも言える。

彼らはペンテストしている会社の駐車場にUSBスティックを投げ込んで、誰かがいつもそれをワークステーションに挿れて中身を見ようとして、p0wnedになってしまう。私のお気に入りの引用の一つは、2012年のStuxnetやイランの核プログラムへのサイバー攻撃に関する記事に出てくる、計画の無名のアーキテクトの言葉だ。「手に持っているUSBドライブのことをあまり考えないバカは、いつも周りにいるってことが分かった。」

Hacker Newsで議論の続きを見る