7月1日、Authy Androidアプリのデータベースを標的とした重大なセキュリティ侵害が、アプリ開発元のTwilioの報告で明らかになった。この侵害により不正アクセスが可能となり、ハッカーはユーザーアカウント、特に電話番号に関連するデータを抜き取ることができた。
セキュリティプロトコルにおけるAuthyの役割
Twilio は認証資格情報は安全であると保証し、アカウント自体は「侵害されていない」と述べていますが、電話番号が公開されるとフィッシングやスミッシング攻撃の可能性が懸念されます。
予防策として、Twilio は Authy ユーザーに対し、受け取る可能性のある疑わしいテキスト メッセージについて高い注意を払うよう呼びかけています。Authy は、集中型交換ユーザーのセキュリティ プロトコルで重要な役割を果たしており、2 要素認証 (2FA) に広く使用されています。
出典: Twilio
このシステムは、ユーザーのデバイス上で一時的なコードを生成することでセキュリティを強化します。このコードは、引き出し、送金、その他の機密操作を承認するために取引所に提供する必要があります。Gemini や Crypto.com などの有名な取引所は、主要な 2FA メカニズムとして Authy を利用しています。
さらに、Coinbase や Binance などの他の主要プラットフォームも Authy を 2FA オプションとしてサポートしており、その広範な採用が強調されています。
この侵害は認証されていないエンドポイントを通じて発生しましたが、Twilio はすぐにこのセキュリティ上の欠陥に対処しました。同社はその後このエンドポイントを強化し、認証されていないリクエストを受け入れないようにしました。
ユーザーには、同様の侵害を防ぐために更新されたセキュリティ機能を含む最新バージョンのアプリにアップグレードすることが推奨されています。
Twilio は、ユーザーの認証コードの整合性が損なわれていないことを確認しました。この保証は、侵害があったにもかかわらず、攻撃者がユーザーの取引所アカウントに不正アクセスできないことを意味するため、非常に重要です。
Twilio は、「脅威の攻撃者が Twilio のシステムやその他の機密データにアクセスしたという証拠は確認されていない」と強調し、侵害は電話番号の漏洩に実質的に限定されていたことを示唆した。
さらに、この攻撃が ShinyHunters サイバー犯罪グループと関連していることが明らかになった。Seeking Alpha のレポートによると、ShinyHunters は Authy に登録されている 3,300 万件の電話番号が含まれているとされるテキスト ファイルを漏洩した張本人である。
このグループはサイバーセキュリティ界では悪名高く、2021年にはAT&Tで大規模なデータ侵害を企てたことがある。サイバーセキュリティブログRestoreprivacyが記録しているように、この事件では5100万人の顧客のデータが侵害され、その年の重大な侵害事件の1つとなった。
SIMスワップ攻撃の脅威
Authy のような認証アプリは、主にソーシャル エンジニアリングの一般的な手法である SIM スワップ攻撃から保護するために開発されました。これらの攻撃では、犯罪者は電話会社を説得してユーザーの電話番号を自分の管理下にあるデバイスに転送させます。
番号が乗っ取られると、攻撃者は SMS 経由で送信された 2FA コードを傍受し、被害者の機密アカウントに不正アクセスできるようになります。この方法は、特により安全なアプリベースのシステムではなく、テキスト メッセージ経由で 2FA コードを受け取っているユーザーにとって、依然として大きな脅威です。
ブロックチェーンセキュリティ企業SlowMistが最近明らかにした事件では、OKX取引所のユーザーがSIMスワップ攻撃により多額の経済的損失を被ったことが明らかになり、SMSベースの2FAに関連する継続的なリスクが浮き彫りになった。
Authy のデータベースへの侵入は、デジタル セキュリティ システムに依然として脆弱性が存在すること、そして相互接続が進むデジタル環境において、ユーザーと企業が個人情報や金融情報を保護するために常に警戒し、積極的に行動する必要性を強調しています。
Authy のデータ漏洩によりユーザーがフィッシングの危険にさらされるという記事が最初に Coinfomania に掲載されました。