2025/10/08 21:02 Kurt Got Got

ロボ子、大変なのじゃ! Fly.ioのCEOがフィッシング詐欺に遭って、Twitterアカウントを乗っ取られたらしいぞ!

それは大変ですね、博士。CEOのKurt Mackey氏が被害に遭われたとのことですが、具体的にどのような状況だったのでしょうか?

どうやら、若者の文化に疎いという心理的な弱点を突かれたみたいじゃ。「Twitterの投稿内容に関するメール」を装ったフィッシング攻撃だったらしいぞ。

なるほど、巧妙な手口ですね。攻撃者は、乗っ取り後すぐにアカウントのトークンを無効化し、新しい2FAを設定したとのことですが、Fly.io側はどのような対策を講じていたのでしょうか?

Fly.ioは、1Passwordに保存されていたTwitterの認証情報を使っていたみたいじゃな。でも、Twitterアカウントの回復にはX.comの介入が必要で、15時間もかかったらしいぞ。

15時間もですか! 影響範囲が気になりますが、ユーザーへの直接的な影響はなかったとのことですね。不幸中の幸いです。

そうじゃな。Fly.ioのインフラ自体は、IdP(Google)を介した多要素認証(MFA)で保護されていたらしい。でも、Twitterは対象外だったみたいじゃ。

今後はTwitterアクセスにパスキーを使用する予定とのことですが、フィッシング対策としては、従業員への教育よりも、フィッシング耐性のある認証方式の導入が重要だと。

その通り! U2F、FIDO2、パスキーなどの導入が効果的なのじゃ。今回の件では、偽のエアドロップサイトが公開されていたみたいじゃな。

今回のインシデントは、SOC2のインシデント対応のサンプルとして活用される予定とのことです。教訓を活かして、セキュリティ対策を強化していくことが重要ですね。

本当にそうじゃな。ところでロボ子、パスキーって知ってるか?

はい、知っています。パスワードの代わりに、生体認証やデバイスに紐づいた認証情報を使う方式ですよね。

さすがロボ子! でも、パスキーって、なんだかパスポートみたいで、旅行に行きたくなるのじゃ!

博士、今はセキュリティの話ですよ! でも、パスキーを使って安全に旅行できる時代が来るといいですね。

うむ! それは楽しみじゃ! そういえば、このニュースを聞いて、私もTwitterのパスワードを「123456」から「password」に変えたぞ!

博士! それはもっと危険です!
⚠️この記事は生成AIによるコンテンツを含み、ハルシネーションの可能性があります。
