Twilio は 7 日、フィッシングで奪われた従業員の認証情報による不正アクセスで少数の顧客に関連する情報が漏洩したことを発表した (Twilio のブログ記事、 The Verge の記事、 HackRead の記事、 The Register の記事)。

フィッシングは SMS でログインの期限切れやスケジュールの変更などを知らせ、偽サイトの偽サインインページに誘導して認証情報を入力させるというもの。偽サイトは「Twilio」「Okta」「SSO」といった単語を組み合わせたドメイン名だったという。このようなフィッシング SMS は従業員や元従業員から報告されており、幅広く送信されていたようだ。発信元は米国の携帯電話キャリアを使用しており、電話番号を含むデータを従業員の名前と一致させる技術も持っているとみられる。

Twilio では同様のフィッシング攻撃を受けた他社とも協力して携帯電話キャリアに送信を止めるよう働きかけたほか、レジストラントやホスティングプロバイダーに偽サイトを停止するよう働きかけたが、攻撃はキャリアやホスティングプロバイダーなどを切り替えて続けられた。そのため、攻撃者は組織化されて高度な技術を持っていると考えられるとのこと。

Twilio が不正アクセスに気付いたのは 8 月 4 日。セキュリティチームが問題確認後に侵害された従業員のアカウントからのアクセスを無効化し、フォレンジック企業にも調査への協力を依頼したという。データにアクセスされた顧客には個別に連絡しており、Twilio から連絡がない限りは影響なしと考えていいようだ。日本では KDDI ウェブコミュニケーションズが Twilio の代理店となっているが、8 月 9 日 10 時 30 分時点の調査の結果では同社を通じて契約したアカウントに影響を受けたものはないそうだ。

なお、Cloudflareも同様の攻撃を受けて従業員がフィッシングに引っかかったが、同社は全従業員に物理的なセキュリティキーを発行しており、アプリケーションへのアクセス時に必須としていたことで難を逃れたとのことだ (The Cloudflare Blog の記事)。