ソーシャルメディアプラットフォームのXは、暗号資産に関する詐欺を防止するため、初めて暗号資産に言及したアカウントを自動的にロックする新たなセキュリティ対策を準備している。
この措置は、偽の著作権通知を用いたフィッシング攻撃の増加を受けたもので、X上での暗号資産関連詐欺を抑制することを目指している。
同社のプロダクト責任者であるNikita Bier氏によると、該当アカウントは追加の認証手続きを経て再び投稿可能となる。Bier氏は、この機能が攻撃の主な動機となるインセンティブを狙ったものであり、現在拡大しているフィッシング攻撃によるユーザーの認証情報搾取とアカウント乗っ取りに伴う暗号資産詐欺を99%抑えられると述べている。
この新機能は、著作権侵害通知を装ったフィッシングメールに騙され、アカウントの管理権を失ったXユーザーの体験を踏まえて導入が明らかになった。
そのユーザーによれば、攻撃者は本物と見分けがつかないほど精巧な偽ログインページで二要素認証コードを盗み取り、アカウントを乗っ取った上で詐欺的な暗号資産プロジェクトの宣伝を行ったという。
こうした攻撃は、イーロン・マスク氏による買収前のTwitter時代から継続的に発生しており、X上で非常に一般的だ。
典型的な詐欺手法には、「送った暗号資産の額を倍にする」と偽って送金を促すケースがあり、他に偽ミームコインや不正なエアドロップの宣伝も存在する。これらはしばしば乗っ取られたアカウントを利用して信用を得ようとする。
また、著名人を装った偽アカウントが正規の暗号資産プラットフォームを模した悪質なリンクを配信し、フォロワーを誘導するなりすまし詐欺も繰り返されている。
暗号資産取引は取り消しができないため、被害者は一度資金を失うと回復が困難だ。
過去には2020年にTwitterの内部システムにハッカーが侵入し、Appleやバラク・オバマ、イーロン・マスク氏を含む著名アカウントを乗っ取って偽のビットコイン配布を宣伝し、10万ドル超の資金を騙し取った事件が起きている。この事件は社員に対するソーシャルエンジニアリングによるもので、犯人は懲役5年の判決を受けた。
Xはこれまでにもボット排除、API制限、行動検知など多面的なセキュリティ強化策を講じてきた。今回の暗号資産言及の初投稿アカウントを自動ロックする施策は、それらの取り組みをさらに前進させ、乗っ取られたアカウントによる詐欺利用を根本的に阻止することを目的としている。
Bier氏はまた、フィッシングメールが届く段階で防げていない現状を踏まえ、Googleにもフィッシング攻撃からユーザーを守る責任の一端があるとして批判した。
