ソーシャルメディアプラットフォームXは、暗号資産に言及した初めての投稿をしたアカウントを自動的にロックする新たなセキュリティ機能の導入を予定している。この措置は、偽の著作権通知メールを利用したフィッシング攻撃の増加を受け、同プラットフォーム上の暗号資産関連詐欺の抑制を目的とした最新の対応策となる。
プロダクト責任者のNikita Bier氏によれば、この新機能によって当該アカウントは追加の認証手続きを完了するまで投稿が制限される。彼はこの機能が、乗っ取られたアカウントを使って詐欺的なトークンを宣伝するという典型的な暗号資産フィッシング攻撃に対して、根本的なインセンティブを断つ狙いがあると述べ、「インセンティブの99%はこれで潰せるはずだ」とコメントした。
今回の変更は、著作権違反通知を装った精巧な偽メールに騙され、二要素認証コードを盗まれてアカウント管理権を失ったユーザーの体験談を受けて発表された。同ユーザーによると、攻撃者は本物と見分けがつかない偽ログインページを用いて認証情報を奪取し、その後不正利用によって詐欺的な暗号資産プロジェクトの宣伝を行ったという。
こうした攻撃はX上で広く蔓延しており、イーロン・マスク氏による買収以前のTwitter時代から続く課題となっている。最も多い手法は「送金した額を倍にする」と装い、ユーザーに暗号資産の送付を促す詐欺だ。他にも偽ミームコインや不正なエアドロップの宣伝に乗っ取られたアカウントが利用されるケースもある。なりすましも深刻で、著名人を装ったアカウントが正規暗号資産プラットフォームを模倣した悪質なリンクを拡散している。
暗号資産は取引の取消が不可能なため、一度被害に遭うと資金を取り戻すことができない。2020年にはTwitterの内部システムに不正アクセスされ、Appleやバラク・オバマ、イーロン・マスク氏など著名人のアカウントが乗っ取られた事件が起き、偽のビットコイン配布を宣伝して10万ドル超の被害を出した。この犯行は社員に対するソーシャルエンジニアリングによるもので、犯人は懲役5年の判決を受けている。
Xはこれまでにもボット排除、API制限、行動検知など複数の対策を講じており、暗号資産に初めて言及したアカウントを自動ロックする今回の措置はその取り組みを一層推し進めるものである。乗っ取られたアカウントの詐欺利用を防ぐことで、この手口の根絶を目指している。
また、Bier氏はフィッシングメール段階でユーザーを守れなかったとしてGoogleも非難し、今回の事態の一因としてテクノロジー大手の責任も指摘している。