Twilioの認証アプリAuthyがハッキング被害:3300万件の電話番号が流出
重大なサイバーセキュリティ事件として、Twilioが人気の二要素認証(2FA)アプリAuthyが侵害されたと報告しました。この侵害により、Authyアカウントに関連する約3300万件の電話番号が流出しました。
侵害の詳細
Twilioは2024年7月1日にセキュリティ侵害を公表し、認証されていないエンドポイントによってユーザーデータへの不正アクセスが可能になったことを明らかにしました。パスワードと2FAシードは安全でしたが、流出した電話番号は影響を受けたユーザーに大きなリスクをもたらします。
犯行グループ
ShinyHuntersとして知られるハッキンググループが攻撃の責任を主張しています。彼らはハッキングフォーラムで盗まれた電話番号を含むファイルをリークしたと報告されており、フィッシング攻撃やSIMスワッピングの試みの可能性が高まっています。
Twilioの対応
Twilioは脆弱性に対処するため、以下の即時対応を行いました:
- 侵害されたエンドポイントの保護
- 認証されていないリクエストのブロック
- Authyアプリのセキュリティアップデートのリリース
同社は、侵害中に他のTwilioシステムや機密データへのアクセスはなかったと保証しています。
ユーザーが取るべき行動
Authyユーザーの方は、以下の手順で自身を守ってください:
- Authyアプリを直ちにアップデート(Android v25.1.0以上またはiOS v26.1.0以上)
- デバイスでSIMロックを有効にする
- フィッシングやスミッシングの試みに警戒する
- 代替の2FAアプリへの切り替えを検討する
より大きな視点で
この事件は、認証サービスを専門とする企業でさえ、サイバーセキュリティにおける継続的な課題に直面していることを浮き彫りにしています。どのシステムも攻撃から完全に免れることはなく、ユーザーはデジタルアイデンティティを保護するために常に警戒する必要があることを思い出させます。
Twilioは、セキュリティと透明性へのコミットメントを強調し、「当社の製品と顧客データのセキュリティが最も重要であり、そのセキュリティを脅かす可能性のある事件が発生した場合、私たちはそれについてお知らせします」と述べています。
状況が進展する中、Twilioのセキュリティインシデント対応チームは引き続き新たな問題を監視し対処しています。Authyアカウントに問題が発生しているユーザーは、Authyサポートに直接連絡することが推奨されています。
この進展中のストーリーについて、さらなる更新をお待ちください。