概要
- 制御の失敗は窃取そのものよりも大きかった。攻撃者は電話によるソーシャルエンジニアリングを用いて従業員の認証情報を入手し、内部プロセスを学習し、アカウントサポートアクセス権を持つ従業員に接触し、Twitter 自身のツールを130のアカウントに対して悪用した。Twitter によると、45のアカウントからツイートが送信され、36のアカウントのダイレクトメッセージ受信箱がアクセスされ、7つのアカウントのデータアーカイブがダウンロードされた。これらは異なる操作であり、侵害の定義として互換性のあるものではない。
- 管理ツールは公共コミュニケーションの依存基盤であった。このツールは、パスワードリセット、アカウント状態の変更、連絡先やログイン情報の表示、正当な所有者からの制御移行を支援し得た。この権限が悪用されると、本物のアカウントバッジ、フォロワーグラフ、投稿履歴が、他者の主張の配信インフラへと変わった。Twitter による封じ込め措置は、その後多くの認証済みアカウントがツイートやパスワード変更を行えなくなり、それには公共機関のコミュニケーションも含まれた。
- 目に見えた詐欺は金銭的には小さかったが、運用上は示唆に富む。ニューヨーク州金融サービス局(NYDFS)は、騙し取られたビットコインを約118,000ドルとした。同局の規制対象企業は約134.7万ドルに相当する送金未遂を阻止したと報告し、一方で一部の顧客はブロックが有効になる前に約22,000ドルを失った。この対比は、上流で生じた信頼の破綻を、下流の管理がいかに急速に補填しなければならなかったかを示している。
- 責任は同時に存在するが、同等ではない。犯罪者は欺瞞、不正アクセス、アカウント売買、詐欺メッセージ、窃取を支配していた。Twitter は、サポート権限の範囲、認証、アクセスの再認証、監視、高リスク承認、封じ込め、復旧、公開報告を支配していた。アカウント所有者と金融プラットフォームは下流での損失を軽減し得たが、Twitter の内部管理画面を設計したり監査したりすることはできなかった。
- 公開記録は攻撃経路と影響について高い信頼性を支持するが、完全なフォレンジック復元を提供するものではない。NYDFS、Twitter、刑事訴状、後日の有罪答弁、ブロックチェーン分析、企業提出書類は主要な流れで一致している。しかし、完全な認証トレイル、全ての特権的行動、侵害された各従業員の正確な権限、全てのセッション証拠、検出アラート、あらゆる修復の独立した完了証拠は開示されていない。
復旧面は公共広場の一部だった
ソーシャルネットワークは外からは単なる配信サービスのように見える。利用者がサインインし、メッセージを書き、フォロワーに配信する。その単純な行為の背後には、一般の利用者が目にすることのない、より強力なサービスが存在する。アカウントの復旧、関連メールアドレスの変更、パスワードのリセット、多要素認証の無効化、悪用調査、ルールの執行、法的要請への対応、正当な所有者がロックアウトされた場合のアクセス回復のための仕組みである。
この仕組みは必要不可欠だ。デバイスを紛失する人もいれば、企業が担当者を交代させ、誤ってアカウントが停止されることもある。しかし、あらゆる復旧能力は、代替の認証システムでもある。要求者がアカウントを受け取る資格があると判断する従業員は、単なるカスタマーサービスを提供しているのではなく、アイデンティティの権限を行使しているのである。
ニューヨーク州金融サービス局の調査は、Twitter の内部ツールが、関連メールアドレス、電話番号、ログイン IP アドレスを含む非公開のアカウント情報を露出するものとして説明している。権限のある従業員は、これらのツールを使ってメールアドレスの更新、パスワードのリセット、多要素認証の有効化や無効化を行うことができた。一部のツールはコンテンツ執行や法的要請への対応もサポートしていた。これは、アイデンティティ、プライバシー、言論、組織的コンプライアンスのための複合的な面であった。
2020年7月15日、その内部面は、バラク・オバマ、ジョー・バイデン、イーロン・マスク、ビル・ゲイツ、Apple、Uber、暗号資産交換業者、その他の著名なアカウント所有者として発言する手段となった。詐欺師は新たにオーディエンスを構築したり、アカウントを一から模倣したりする必要はなかった。本物のアカウントの名称、履歴、認証バッジ、フォロワーを継承したのだ。サービス自体の真正性の表現が、説得力を提供したのである。
したがって、盗まれた額が小さいと捉えるのは誤解を招く。約118,000ドルは、失った本人にとっては重大だが、この事案の上限ではない。この額は、あるグループが、ある急ごしらえの詐欺を用いて、封じ込め前の午後の間に生み出した結果に過ぎない。グローバルなコミュニケーションサービスへの管理アクセスには、はるかに大きなオプション価値があった。偽の企業開示を公表し、証券価格を操作し、公共安全メッセージを捏造し、危機下で正当なアカウントを抑圧し、非公開の通信を公開し、選挙期間中に政治的クレームを注入するために利用できたのだ。
それらの仮定の話を、実際に危害が発生したという主張に変換してはならない。こうした仮定は、管理設計が、観測されたケースで盗まれた価値ではなく、権限に比例していなければならない理由を説明するものである。米国証券取引委員会(SEC)は長年にわたり、Twitter 上でのポンプ・アンド・ダンプ宣伝を含め、投資操作スキームにおいてソーシャルメディアを通じて虚偽の主張が拡散されうると警告してきた。NYDFS もまた、2013年の AP 通信アカウント乗っ取り事件を引用した。この際、偽のホワイトハウス爆発ツイートの後、急速かつ一時的な時価総額の減少が起こった。Twitter は単に会話をホストしていたのではなく、自動システム、投資家、ジャーナリスト、当局者、公衆が行動を起こすかもしれない声明を伝達していたのである。
一日の攻撃には三つの商業的局面があった
最も明確な公的な復元は NYDFS の2020年10月の報告書であり、これは召喚状、インタビュー、文書、規制対象暗号資産企業への調査に基づいている。Twitter 自身のセキュリティインシデントアップデートは、同社の集計と評価を示している。刑事訴状はアカウント売買とビットコインの流れに関する証拠を追加しているが、訴状の主張は後に認められるか証明されるまでは主張に過ぎないことに留意が必要である。
本件は単一の「ハッキング」ではなかった。ある種のアクセスが、次の種類のアクセスをより安価にする連鎖であった。
| 東部時間 | 事象 | 説明責任上の意義 |
|---|---|---|
| 7月14日 午後 | 通話者が複数の Twitter 従業員に対し、同社の IT ヘルプデスクを装い、VPN の問題に言及しながら電話をかけた。 | 在宅勤務に関する身近な問題が、口実をもっともらしくした。内部サポートプロセスへの信頼が侵入口となった。 |
| 7月14日〜15日 | 従業員は偽の VPN ページに誘導された。攻撃者は取得した認証情報を本物のサービスに入力し、多要素認証の承認リクエストを生成し、一部の従業員がそれを承認した。 | パスワードとプッシュ承認は、ライブリレーを通じて同時に突破された。MFA は存在したが、そのトランザクションは検証者なりすましへの耐性を持たなかった。 |
| 7月15日 未明 | 初期の従業員アクセスは内部サイトの閲覧や、他のアプリケーションやアカウントサポートプロセスの動作を学習するために利用された。 | 最初に侵害されたアイデンティティは、最終的なアカウント管理権限を欠いていたと伝えられている。内部知識を得ることで、より特権的なターゲットを選定するコストが低下した。 |
| 7月15日 午前3時頃〜午前10時頃 | 参加者は、希少性の高い短い、または「OG」アカウント名を取得し売却することについて協議した。 | 最初の収益化モデルは、大規模詐欺ではなく、アカウントの卸売り移転であった。希少なハンドルネームの市場が、管理アクセスに即座の転売価値を与えた。 |
| 午後2時直前 | 乗っ取られた OG アカウントが内部ツールの画像を投稿した。 | 特権アクセスの公的な証拠が、能力を宣伝するとともに、インシデント進行中に運用情報を暴露した。 |
| 午後2時16分以降 | ある暗号資産トレーダーのアカウントが、ビットコインを募るダイレクトメッセージに使用された。 | 非公開での働きかけが、公的キャンペーンに先立ち、奪取した権限のテストとなった。 |
| 午後3時18分 | 暗号資産企業の乗っ取りが開始された。Twitter のインシデント対応チームは既に不審な通話やログインを調査中であった。 | 公的段階の前、またはその最中に内部警告は存在していたが、攻撃者はエスカレーションに十分な権限を維持していた。 |
| 午後3時26分〜午後4時12分 | 暗号資産関連の10アカウントが乗っ取られ、倍返しオファーのバリエーションが投稿された。 | 本物のアカウントを跨ぐ反復が、見かけ上の裏付けを生み、オーディエンスを拡大した。 |
| 午後4時17分〜午後6時05分 | 政治、テクノロジー、エンターテインメント、ビジネスの著名アカウントが詐欺メッセージを送信し、一部は繰り返し行われた。 | キャンペーンはニッチなアカウント市場から、組織的・個人的な信頼に対する地球規模の悪用へと移行した。 |
| 午後5時45分 | Twitter がセキュリティインシデントを公に認めた。 | プラットフォーム全体への最初の告知は、暗号資産アカウント段階の開始から2時間以上後だった。 |
| 午後6時18分以降 | Twitter は多数の認証済みアカウントをツイートやパスワード変更から制限し、一部の直近に変更されたアカウントをロックした。 | 封じ込めは攻撃者の能力を低下させたが、同様に正当なコミュニケーション能力も奪った。 |
| 午後6時59分 | NYDFS が規制対象の暗号資産企業に対し、まだ行っていなければ掲載されたアドレスをブロックするよう指示した。 | セクター規制当局と金融仲介機関が、ソーシャルプラットフォームのインシデント制御ループの一部となった。 |
| 午後8時41分 | Twitter は、ほとんどのアカウントがツイートを再開できると述べたが、機能にはばらつきがある可能性があった。 | 広範な配信機能が、アカウントサポートやフォレンジック調査に対応が完了する前に復帰した。 |
この連鎖は、不正確なストーリーを退ける。すなわち、一人の従業員が全権アクセスを持っていて一度騙され、それから有名人アカウントが即座に詐欺を投稿したというものだ。NYDFS は、最初に侵害された従業員が必要なアカウント管理アクセスを欠いていたことを突き止めた。侵入者はその足掛かりを使って内部プロセスを学習し、その後、より関連性の高いアクセス権を持つ従業員を標的にした。Twitter も同様に、最初に標的となったスタッフが全員アカウント管理権限を持っていたわけではないと述べている。
これは組織的知識を通じたラテラルムーブメントである。内部文書、アプリケーション名、役割記述、サポート手順は、たとえ最初のアイデンティティが最終的なアクションを実行できなくても、特権授与のためのデータとなり得る。最小権限は攻撃者を減速させたが、封じ込めはできなかった。なぜなら、最初のアイデンティティは依然として、次なる人物を選び欺くのに有用な情報に到達できたからである。
従業員の欺瞞、ツールへのアクセス、乗っ取り、そして詐欺は異なる事象である
優れた説明責任は動詞から始まる。四つの異なる事柄が発生し、それぞれ異なる管理権限者と証拠の足跡がある。
第一に、従業員がソーシャルエンジニアリングを受けた。NYDFS は、通話者が社内 IT になりすまし、在宅勤務中の一般的な VPN の問題に言及し、個人情報を使って信憑性を高め、従業員を偽のログインページへ誘導したことを突き止めた。同報告書は、従業員が故意に加担した証拠はないと結論づけた。これを「内部犯行」と呼ぶことはその知見と矛盾する。単に「人的ミス」と呼ぶことは、社外からの電話、再利用可能な認証情報、承認されたプッシュ通知だけでネットワーク侵入を許したシステムを無視する。
第二に、従業員のアイデンティティが内部システムに到達した。初期のアカウントはイントラネット情報への経路を提供した。後に侵害された認証情報はアカウントサポートツールへのアクセスを提供した。内部ネットワークへのアクセスは、あらゆる管理機能へのアクセスと同一ではなく、また、いずれもユーザーアカウントの所有権と同一ではない。この区別は、アクセスのセグメント化を評価する際に不可欠である。
第三に、サポート権限がアカウント制御の移転または行使に利用された。45のアカウントについて、Twitter は攻撃者がパスワードリセットを開始し、ログインし、ツイートすることができたと述べた。連邦のNima Fazeli に対する刑事訴状と支持宣誓供述書は、ある行為者が内部パネルへのアクセスを実演し、希望するユーザー名の制御を販売するために仲介者を利用した市場を主張した。Joseph O’Connor が関与した後の手続きでは、不正なアカウントアクセスが購入され、正当な所有者からアカウントが移転されたと説明された。これはサービスとしてのアイデンティティ窃取であり、内部ツールが在庫品目の役割を果たした。
第四に、一部の制御されたアカウントが詐欺を拡散した。偽の約束は、送付されたビットコインの倍額を返すと謳った。アカウントは本物であり、提案内容は偽物だった。詐欺ツイートは、発信元の真正性とメッセージの真正性のギャップを突いた。認証バッジは、Twitter がそのアカウントを公人や組織と関連付けたことを示せても、内部のアイデンティティシステムが破られた後で、特定のメッセージを正当な所有者が作成したことを証明はできなかった。
これら四段階は、四つの別個の管理テストを意味する。
- 通話者は説得力をもってヘルプデスクを装い、従業員のログイン情報を中継できたか?
- 新しく認証された従業員のアイデンティティは、何を学習し、何に到達できたか?
- 高影響度アカウントの制御を変更するために、どのような追加の証明と承認が必要だったか?
- 多数の著名アカウントが状態を変え、類似した金融勧誘を投稿した際に、どのような異常検知や取引摩擦が適用されたか?
トレーニングは一つ目の問いに関連する。それは他の三つの問いに対する完全な答えではない。
インシデントの数値は異なる種類の被害を測定する
Twitter の最終的な公開数値は、標的となったアカウント130、ツイート送信45、ダイレクトメッセージの受信箱アクセス36、Twitter データのダウンロード7だった。以前の同社報告は最大8件のダウンロードに言及していたが、後のアップデートで7に修正された。NYDFS は、内部ツールがデータがダウンロードされなかった別の52アカウントについてデータ要求を生成したと報告している。
これらの数字は合算すべきではない。なぜならグループは重複する可能性があるからだ。130をビットコイン詐欺に使用されたアカウント数と表現すべきでもない。広義のインシデントレベルで「標的」または「侵害」とされるものは、公開投稿以上のものを含む。利用可能な証拠は、いくつかの被害クラスを支持する。
| 被害クラス | 公開証拠 | 確立されないこと |
|---|---|---|
| アカウント制御の喪失 | 一部のアカウントで状態が変更され、45のアカウントがツイートに使用された。 | 各アカウントの正確な期間、アクションの連鎖、復旧コスト。 |
| 不正な公的発言 | 本物のアカウントから詐欺メッセージが送信され、一部は複数回。 | 全てのフォロワーがメッセージを見、信じ、または行動したこと。 |
| プライベートメッセージの露出 | Twitter は36アカウントの受信箱がアクセスされたと発表。 | どの個別メッセージが読まれ、コピーされ、撮影され、保持されたか(完全なログと攻撃者側の証拠がない限り)。 |
| アカウントアーカイブの抽出 | 7つのアカウントデータアーカイブがダウンロードされたが、いずれも認証済みアカウントのものではない。 | 各アーカイブの全フィールドが後に利用または開示されたこと。 |
| 非公開サポートツールの露出 | 内部ビューにはアカウントの連絡先やログイン情報が含まれた。 | 標的とされた各アカウントについて閲覧された完全なフィールドのセット、またはスクリーンショットでキャプチャされたかどうか。 |
| 直接的金融損失 | NYDFS は騙し取られたビットコインの総額を約118,000ドルとした。規制対象企業の顧客損失はブロック前に約22,000ドル。 | 全送金者の身元と状況、攻撃者自身による水増しが総受取額を増やしたかどうか、各被害者の最終的な回復状況。 |
| サービス制限 | 封じ込め中に多くの認証済みアカウントがツイートやパスワード変更不能に。その後のアカウントサポートも遅延。 | 遅延した公的メッセージの全世界的リスト、または各中断の経済的価値。 |
| 信頼と評判の喪失 | Twitter の年次報告書は、信頼喪失の可能性、規制上のリスク、影響を受けたアカウントへの損害を認めた。 | 本インシデントのみに起因する正確な因果的損害額。 |
受信箱アクセスとアーカイブダウンロードの区別は特に重要である。ダイレクトメッセージの受信箱はアカウント内部で閲覧できる。データアーカイブは、はるかに広範なアカウント情報を含む生成されたパッケージである。NYDFS は、アーカイブの内容として、プロフィール情報、ツイート、メッセージと添付メディア、フォロワーとフォロイーリスト、アドレス帳データ、推定される人口統計、広告インタラクション情報が含まれうると説明した。リクエストはダウンロードとは異なり、ダウンロードは全ての記録が悪用された証拠にはならない。
Twitter は、影響を受けたアカウント所有者に直接連絡し、ロックアウトされた人々のアクセスを復旧させたと述べている。同社の2020年フォーム10-Kは、侵害されたアカウントからの不正なコミュニケーションが個人の安全、評判、ブランドに害を及ぼす可能性があり、7月の事案が法的、財務的、信頼上の影響を生み得ることを認めている。証券リスク開示は独立したフォレンジック調査の知見ではない。これは有用である。なぜなら、同社自身がビットコイン受取アドレスを超えた被害を認識していたことを示すからだ。
悪用接点の経済性は発信者に有利だった
この攻撃は、悪用接点の経済性を明確に示している。サポート組織は、正当な人々の摩擦を減らすために構築されている。それは専門知識を集中させ、スタッフにツールを与え、手順を文書化し、ケースが解決されたかを測定する。これらの機能はサービスコストを下げる。しかし、攻撃者が安価に繰り返しコンタクトを開始し、部分的な失敗から情報を収集し、最終的に大きな権限を持つ人物の決定に到達できる場合、悪用の限界費用も下がり得る。
攻撃者は、未知のソフトウェア脆弱性を必要としなかった。必要なのは、準備、説得力のある話術、偽造サイト、従業員の詳細、そして十分な試行回数だった。失敗した通話のコストはほとんどない。成功した通話は認証情報を生み出した。最終権限のない認証情報でも内部偵察を可能にした。偵察は別の従業員を特定した。サポートツールへの一本の成功経路は、その後の多数のアカウント乗っ取りといくつかの収益化戦略を支えた。
これは深刻な非対称性を生む。
- 攻撃者は多数の人に電話をかけられ、各従業員は一見普通のサポート対応一件を経験する。
- 攻撃者は拒否から学習するが、従業員はそれらの通話が一つのキャンペーンを形成していると認識できないかもしれない。
- 発信者が時間と口実を選ぶ一方、従業員は実際のリモートワーク問題に対処しているかもしれない。
- 企業は、全ての正当なサポートケースを遅くしてしまうと、誤検知の全コストを負う。
- 一度の誤った承認が、全ての失敗した通話のコストをはるかに上回る価値のあるアクセスを生み出し得る。
- 下流の損失は、アカウント所有者、メッセージ受信者、金融機関、公共機関、対応者、プラットフォームに分散される。
サポートは依然として機能しなければならなかった。Twitter は見返りを変える必要があった。高リスクの復旧には、公開プロフィールから収集したり、同じ通話で引き出したりできない証拠が要求されるべきだ。復旧されたアイデンティティは、以前の全ての権限を即座に受け取るべきではない。センシティブな変更は独立した通知を生成し、最も影響度の高いアカウントについては、第二の人物による承認または遅延を要するべきだ。繰り返しの試行は、従業員間で相関付けられるべきだ。
同じ論理がインシデント後にも当てはまる。ツールの制限は攻撃者の機会を減らしたが、Twitter が正当なアカウントサポート、悪用報告、開発者リクエストに応答するのを遅くした。セキュリティ摩擦は、侵害前に十分に選択的に適用されていなかったため、事後に大量に再導入された。コストは、リスクあるアクションから、支援を待つ全ての利用者に移転した。
小さな詐欺がより大きな送金未遂フローを生んだ
ブロックチェーン記録は、事象の一部を異例なほど可視化する。1週間後のChainalysis のレビューは、宣伝された3つのアドレスが13.14ビットコインを受け取り、当時の価値で約12万ドルだったことを明らかにした。また、約2万ドルはおそらく攻撃者が管理する不審なアドレスからのもので、詐欺を活発に見せかける一般的な手法だと評価した。この分析は、総受取額が必ずしも被害者損失と同一ではないことを意味する。NYDFS は約11万8000ドルを盗まれた額とした。
連邦訴状は、主要アドレスへの数百件の入金と、迅速な移動を記述した。公開ブロックチェーンは、送金先と移動を観察可能にしたが、帰属には捜査作業、サービス記録、通信、法的手続きが必要だった。「追跡可能」は自動的に「取消可能」を意味しなかった。ビットコインの送金は、一度確認されると、一部の消費者決済システムで利用可能なチャージバックの経路を提供しなかった。
NYDFS の調査は、より示唆に富む比較を提供している。4つの規制対象企業が、詐欺アドレスへの顧客による約134.7万ドルの未遂送金を積極的にブロックしたと報告した。
- Coinbase は約5,670件、総額約129.4万ドルの未遂送金をブロック。
- Square は358件、約5.1万ドル。
- Gemini は2件、約1,800ドル。
- Bitstamp は1件、約250ドル。
Gemini、Square、Coinbase は規制当局に対し、ブロックが効く前に一部の顧客が約2.2万ドルを送金したと報告した。NYDFS は、これらを調査対象の規制対象企業のうち報告された唯一の顧客損失と記述した。これらの数値は完全な世界的な被害者台帳ではなく、ブロックされた総額は盗まれた金額ではない。それは特定の企業が報告した防止された未遂の流出である。
この数字は依存関係の連鎖を明らかにする。Twitter は、信頼できるアカウントが詐欺アドレスを拡散できるかどうかを制御していた。暗号資産企業は、そのアドレスが認識された後に、自社サービス上の顧客がそこへ送金できるかを制御した。顧客は支払いを開始するかどうかを制御したが、その選択は故意に改ざんされた発信元シグナルの下でなされた。NYDFS は、規制対象企業への監督上のコミュニケーションを制御した。法執行機関と分析企業は、アドレスのラベリングと追跡を支援した。
これらの企業は Twitter を修復したわけではない。彼らは別の層で、宛先インテリジェンスと取引制御を適用することにより補填した。既知の詐欺アドレスを確認できる金融仲介機関にはそれをブロックする役割があったが、Twitter のアクセス設計を制御してはいなかった。利用者は倍返しオファーを疑うべきだが、それが表示された本物のアカウントを制御してはいなかった。同時に存在する義務は、失敗した機能に対する排他的管理権を持つ当事者を消し去るものではない。
封じ込めは正統な発言者を無効化した
Twitter は困難なインシデント対応問題に直面した。当初、どの従業員セッションやツールが信頼できるかわからなかった。通常運用の継続は、更なる乗っ取りのリスクがあった。アクセス制限は、調査とサービス復旧を試みる人々の妨げとなる。同社は広範な制御を選択した。すなわち、内部システムへの従業員アクセスの無効化または制限、多数の認証済みアカウントのツイートやパスワード変更の制限、最近パスワード変更されたアカウントのロックである。
この決定は封じ込めとしては擁護可能だった。それはまたサービス停止でもあった。NYDFS は、公共機関が自らのアカウントにアクセスできず、それには NYDFS 自身のアカウントも含まれたと報告した。WIRED による Twitter の対応の再現記事は、米国国立気象局が同局のアカウントを通じて竜巻注意報を送信できなかったと報じた。
これこそが本事案の中心にあるクラウドサービス依存である。組織は自社でメッセージを作成し、自社スタッフを管理できるが、もし公衆へのリーチをホストされたソーシャルプラットフォームに依存しているなら、その発信能力はプロバイダのアイデンティティとインシデント管理に依存する。顧客は、アカウントのフォロワー、履歴、検証コンテキストを数分で第二のプロバイダにフェイルオーバーできない。バックアップのウェブサイト、メーリングリスト、警報サービス、第二のソーシャルチャネルは情報を伝達できるが、必ずしも同じオーディエンスに、または同じ社会的証明をもって伝わるとは限らない。
したがって、封じ込めのトレードオフは、単なるセキュリティ判断ではなく、継続性の要件として扱われるべきだ。公共安全と機関コミュニケーションを担うプラットフォームは、インシデント前に少なくとも四つの問いに答えられるべきである。
- すべての信頼できる発信者を沈黙させることなく、高リスクの管理操作を停止できるか?
- 緊急または公益アカウントは、別途保護された経路を通じて継続できるか?
- 自社のアカウントや従業員アイデンティティが疑わしい場合に、プラットフォームは独立して制御されるチャネルを通じてインシデント状況を伝達できるか?
- 組織は、危機前に確立された認証済みの代替手段にオーディエンスをリダイレクトできるか?
特権アイデンティティ面が信頼されていない間は、完璧な答えはあり得ないかもしれない。だからこそ、その対象範囲が重要なのである。一つの管理面がアカウントを復旧し、封じ込め中に広範な発言制限を強いることができる場合、サポートツール設計はレジリエンス設計となる。
Twitter は、アクセス制限がアカウントサポート、報告ツイートの処理、開発者プラットフォームの申請も遅らせたと述べた。復旧は詐欺ツイートが止んだ時点で終わらなかった。遅延した全ての正規のケースが運用コストの一部だった。一部の遅延は安全な封じ込めの代償であり、一部は対応者がもはや信頼できないアクセスの背後に多数の機能を集中させた結果だった。
認証はアカウントを保証したが、その瞬間を保証しなかった
この詐欺は、一般的な思考の近道、すなわち本物のアカウントは本物のメッセージを含意するという思い込みを悪用した。認証はその近道を強化した。それは利用者に対し、公益アカウントが表示された人物または組織と関連付けられていることを伝えた。それは、各投稿に対するアカウント所有者による暗号署名ではなかった。
管理ツールが制御を変更できるようになると、プラットフォーム認証は、現在のセッションがもはや尊重していないアイデンティティ関係を引き続き証明した。パスワード、メールアドレス、または多要素認証の状態が変わっても、バッジは消えなかった。したがって、プラットフォームの信頼シグナルと復旧システムは結合されていた。復旧の決定が、誰がバッジの持つ説得力を継承するかを決定づけた。
これには実際的な帰結がある。影響度の高いアカウント変更は、通常の投稿とは異なる扱いを受けるべきだ。プラットフォームは、クーリング期間、追加審査、所有者への目立つ通知、金融勧誘への一時的制限、またはサポート支援による復旧後の可視的な状態変更を適用できる。各措置にはコストがある。遅延は、アクティブな悪用に直面しているアカウント所有者に害を及ぼし得る。公的警告は、機微な復旧を開示し得る。コンテンツルールは逃れられ得る。しかし、摩擦が全くなければ、一回の管理判断が蓄積された信頼を即座に移転させてしまう。
Twitter の2020年9月の選挙関連アカウントのセキュリティ改善に関する投稿は、指定されたグループに対するログイン防御の強化、パスワードリセット保護、二要素認証の推奨または要求を説明した。これらは関連性のある下流の保護策だが、7月のインシデントは、利用者側の MFA だけでは、アカウント状態をリセットまたは変更できる内部サポートツールそれ自体を制約できないことを示した。著名な利用者をログイン時に保護することと、従業員の復旧経路を保護することは、別個の管理問題である。
「MFA を使え」は正しいが不完全だった
侵害された従業員は、アプリケーションベースの多要素認証を使用していた。NYDFS は、攻撃者が従業員がフィッシングサイトと対話している間に、取得した認証情報を本物の Twitter ログインに入力したことを突き止めた。本物のログインが承認リクエストを生成し、一部の従業員がそれを承認した。第二要素は、デバイスの所持と承認の意思を確認した。それは、従業員が自ら開始したトランザクションにおいて、意図されたサービスに対して認証していることを確立しなかった。
Twitter は後に、フィッシング耐性のあるセキュリティキーの従業員への展開を加速したと述べた。継続的なセキュリティ作業に関する投稿でも、より多くのトレーニング、ペネトレーションテスト、シナリオ計画、プライバシーレビュー、侵害された認証情報からの不正な内部システムアクセス低減の取り組みについて説明している。
この設計上の区別は、後の連邦指針によっても支持されている。NIST は、フィッシング耐性のある認証では、暗号的結合を用いて、捕捉された認証素材が正当なサービスに再生されるのを防ぎ、特に権限の高い利用者に推奨していると説明している。この2023年の説明は一つの指標であり、2020年7月時点で Twitter が展開していたものの証明ではない。NYDFS は、物理的なセキュリティキーがあれば、再現された認証経路を阻止できたであろうと独立して述べている。
従業員向けのフィッシング耐性ログインでさえ、初期の認証情報窃取にしか対処しない。それは、あまりに多くの役割が高権限ツールに到達できたかどうか、サポートアクションに第二の承認者が必要だったか、復旧されたアカウントが即座に投稿できたか、アーカイブ生成が異常だったか、セッションが監視されていたかといった疑問には答えない。強力な認証は扉を守る。認可、プロセス設計、監視が、入室後に何が起こるかを決定する。
NIST のゼロトラストアーキテクチャ(2020年8月発行)はここで有用である。なぜなら、ネットワーク上の位置だけに基づく暗黙の信頼を否定し、リソースへのアクセス前に個別の認証と認可を要求するからである。この原則を適用しても、本事象をスローガンに変える必要はない。有効な VPN セッションが、あらゆる内部プロセスページの閲覧や高リスクのアカウント変更を自動的に許可してはならないという意味である。リソースの機密性、デバイス状態、利用者の役割、トランザクションの文脈、最近の行動が判断に影響すべきである。
復旧がログインの弱いコピーになってはならない
利用者アカウントのセキュリティは、しばしば入り口で評価される。パスワードの強度、多要素認証の登録、不審なログイン検知だ。内部サポート経路はその扉の横に存在する。もしサポートが、より弱い証明でメールアドレスの変更、パスワードのリセット、MFA の無効化を行えるなら、サポートプロセスが実際の保証レベルを規定する。
OWASP のパスワード忘れガイダンスは、サイドチャネルトークン、レート制限、リセット後の通知、セッション無効化を推奨している。MFA テストガイダンスは、MFA リセットが MFA メカニズムと同様の真剣さでテストされるべきだという中心的な指摘を行っている。これらは一般的なアプリケーションセキュリティの参考文献であり、インシデント固有の法的基準ではない。
グローバルプラットフォームの内部復旧運用にとって、説明責任のあるパターンはより厳格だ。
- 閲覧権限と変更権限を分離し、アカウントを閲覧できることがそれを移転できることを意味しないようにする。
- 目的に関連付けられたケース識別子を要求し、センシティブなアクションについてポリシー根拠を記録する。
- 高影響度アカウントや高リスク属性の変更には独立した承認を取得する。
- 従業員のアクセスを管理対象デバイスとフィッシング耐性認証器にバインドする。
- 変更前または変更後直ちに、既存のチャネルを通じてアカウント所有者に通知する。
- アイデンティティ属性が変更された場合、既存のセッションを無効化するかレビューする。
- サポート支援による復旧後、異常にリスクの高い行動を一時的に制限する。
- アカウント、従業員、送信先、メッセージテンプレートを跨ぐ変更をリアルタイムで相関付ける。
- オペレーターとは別の監視チームから可視な、改ざん耐性のある監査証跡を保持する。
- 緊急時の例外には、非公式な裁量ではなく、明示的でログに記録される経路を与える。
この設計は、一部の正当なケースを遅くする。そのコストは、関与する権限と比較衡量されるべきだ。Twitter は、1,000人を超える従業員がアカウント保守、コンテンツレビュー、関連業務のための内部ツールにアクセスしていたと述べた。NYDFS は、アクセスがリスクに対して広範すぎたと結論付け、Twitter がインシデント後に業務が遅くなったにもかかわらずそれを縮小したと指摘した。トレードオフは、ゼロアクセス対即時サポートではない。それは、一般的なタスクは効率的に保ちつつ、稀でアイデンティティ移転を伴うアクションにはより多くの証明を求めるように、限定的な能力をどのように分散させるかである。
監視は個別のアクションではなく、シーケンスを理解しなければならなかった
単独の事象で決定的に見えるものは、おそらく何もなかった。MFA 付きでログインが成功した。内部ページが開かれた。アカウントのメールアドレスが変更された。アーカイブがリクエストされた。復旧されたアカウントがビットコインアドレスを投稿した。各アクションは、それぞれ単独では正当な説明がつきうる。
しかし、シーケンスは異常だった。複数の従業員が類似の通話を受けた。あるアイデンティティが内部システムを探索した。複数の価値の高いアカウントが制御を変更された。類似のメッセージが著名アカウントにわたって出現した。アーカイブが異常な規模でリクエストされた。単一の送信先アドレスが繰り返された。効果的な監視プログラムは、アイデンティティ、サポートケース、管理アクション、コンテンツ、ネットワークイベントを、公的な段階が成熟する前に連鎖を阻止できるだけの速さで相関付けなければならなかった。
NYDFS は、一部の従業員が不審な通話を報告し、Twitter のインシデントチームが暗号資産企業の乗っ取りが始まる前に調査していたことを突き止めた。また、より強力な監視があれば、異常な活動をよりリアルタイムに近い形で検出するか、リスクあるセッションを終了させることができたかもしれないとも結論づけた。その結論は、どのアラートが存在したか、どの閾値が作動したか、誰がそれを見たか、なぜ特定のアクションが継続したかを開示しない。これは、完全なアラートの時系列を提供せずに、管理ギャップを支持している。
特権アクションの監視には、後日の調査のためにログを保持する以上のことが求められる。質の高い管理は次の問いに答えるだろう。
- 一人の従業員が、定義された時間内に何件のアカウントメールアドレス、パスワード、MFA 変更を行えるか?
- 影響を受けるアカウントは、従業員のキュー、地域、割り当てられた機能と無関係か?
- そのアクションの前に、新しいデバイス、異常なネットワーク経路、または最近の認証情報復旧があったか?
- 従業員が通常の役割パターン外の内部文書にアクセスしたか?
- 復旧された複数のアカウントが、即座に同じ金融アドレスや文言を公開したか?
- データアーカイブが、対応する利用者開始のプロセスなしにリクエストされたか?
- 監視は、潜在的侵害を受けた可能性のあるオペレーターに頼らずに、トランザクションを中断できるか?
目的は、従業員を有罪であるかのようにプロファイリングすることではない。侵害されたアイデンティティと悪意ある内部関係者は、類似した技術的アクションを生み出しうる。管理策は、期待されるコンテキスト外で権限が行使されていることを捕捉することにより、プラットフォームと同時に従業員をも保護すべきである。
過去の FTC 命令がガバナンスの問いをより先鋭にする
Twitter は、極めて関連性の高い規制歴を伴って2020年7月を迎えた。2010年、連邦取引委員会(FTC)は、セキュリティ障害により2009年に侵入者が管理権限を取得し、非公開情報にアクセスし、パスワードをリセットし、不正なツイートを送信することを許したと主張した。FTC の2011年の訴状は、とりわけ、業務上の必要性に応じた管理アクセスの制限が不十分だったと主張した。
その結果生じた2011年の決定および命令は、申し立てられた法律違反が発生したことについて Twitter が認めたものではない。それは義務を課した。Twitter は、非公開の消費者情報の保護について不実表示することを禁じられ、包括的な文書化された情報セキュリティプログラムを維持することを要求された。同命令は、従業員のトレーニングと管理、システム設計、攻撃、侵入、アカウント乗っ取り、不正な管理制御に対する防止、検出、対応を含むリスク評価を明示的に求めていた。また、指定されたスケジュールでの独立した評価も要求した。
この経緯は、2020年7月のインシデントが FTC 命令に違反したことを証明するものではない。ここでレビューされた公開情報源には、当該乗っ取り自体が命令違反に当たるとする FTC の認定は含まれておらず、独立した評価報告書もインシデント記録と共に公表されていない。しかし、これによりいくつかの問いは不可避となる。すなわち、同プログラムはサポートツールの権限をどのように評価したか、評価書は管理アクセスについて何と述べたか、リモートワークの変更はどのようにテストされたか、そしてどのような証拠が上級管理職に届けられたか、である。
2022年に発表された FTC および司法省(DOJ)による別件の措置は、2014年から2019年にかけて Twitter がセキュリティ目的で収集した電話番号とメールアドレスをターゲティング広告に利用したことに関するものだった。FTC のケース記録と司法省の和解発表は、1.5億ドルの民事制裁金と追加のプログラム要件について説明している。このケースは2020年7月の乗っ取りを裁定したものではない。これは、既存の命令が引き続き効力を有しており、セキュリティとアカウント復旧のための連絡先データが保護システムと広告事業の双方に存在したことを示すため、説明責任の記録に含まれる。
時系列は重要である。Twitter の2020年の年次提出書類は、ハッキングの2週間も経たない7月28日に FTC の訴状草案を受領したと述べているが、その訴状は以前の連絡先データ慣行に関するものだった。この二つの問題を一つの違反行為として結合することは不正確である。これらを分けておくことで、より広範なガバナンス上の問題が明らかになる。すなわち、アカウントセキュリティは技術的な補助機能ではなかった。それは、管理特権、利用者コミュニケーション、個人データ、広告インセンティブ、規制上の約束、取締役会レベルのリスクを含んでいた。
刑事責任は複数の法域に分散された
最初の連邦訴追は迅速に行われた。2020年7月31日、司法省はMason Sheppard と Nima Fazeli に対する訴状を発表し、少年事案はタンパの州検事に付託されたと述べた。このリリースは、訴状の主張が証拠ではなく、被告人は有罪と証明されるまで無罪と推定されることを明示していた。
フロリダ州は後に、グレアム・アイヴァン・クラークを州裁判所で訴追した。WUSF の答弁と判決に関する報道は、ヒルズボロ郡州検事の発表と審理に基づき、クラークが有罪を認め、フロリダ州の若年犯罪者枠組みの下で少年施設での3年の収容と、その後の3年間の保護観察を受けたと報じた。この結果はクラークの個人的な刑事責任を確定したが、Twitter の企業統制責任を解決するものではなかった。
スペインから引き渡された英国市民ジョセフ・ジェームズ・オコナーは、2023年5月に複数の計画に対する罪を認めたが、これには Twitter 共謀への関与も含まれていた。司法省によれば、共謀者たちはソーシャルエンジニアリングを用いて Twitter の管理ツールに到達し、アカウントの支配権を移転し、一部を詐欺に利用し、その他を売却した。2023年6月、オコナーはより広範な一連の犯罪について連邦刑務所で5年の刑を宣告された。Twitter 関連の行為はこの事件の一部を形成した。
これらの記録は、被告人ごとに読まれなければならない。シェパードとファゼリに対する当初の訴状は主張に過ぎない。クラークの有罪答弁とオコナーの有罪答弁は、彼ら自身が認めた行為についての後の結論を支持する。オコナーの5年の量刑は、SIM スワッピング、他のプラットフォーム乗っ取り、恐喝、ストーキング、脅迫も対象としており、Twitter インシデントだけに全額を帰属させることはできない。ある指名された人物のその後の処遇についての公的な沈黙を、有罪または無罪に変換してはならない。
刑事訴追は、証拠が事件を支持する場合に、誰が不正アクセスと詐欺で処罰され得るかに答えた。それは、プラットフォームのアクセスアーキテクチャが釣り合いの取れたものだったか、修復がすべてのギャップを埋めたか、利用者が完全な救済を受けたかには答えなかった。企業の説明責任と犯罪者の説明責任は、互いに代替物となることなく共存し得る。
公開記録が依然として示せないもの
広範な事象についての確信は、複数の独立した記録が収束するため高い。しかし、問いがより技術的になるにつれて、確信は狭まるべきである。
公開記録は以下を提供していない。
- 侵害された従業員アイデンティティの完全なリストとその正確な役割。
- 電話を受けた従業員の数、成功率、完全な通話時系列。
- 各セッションのデバイス、VPN、アイデンティティプロバイダ、アプリケーションログ。
- 閲覧または操作されたすべての内部ページ、アカウントフィールド、ツール機能。
- 各利用者アカウントのメールアドレス、パスワード、MFA 状態を変更するために使用された正確なメカニズム。
- インシデント前に監督者の承認が必要だったかどうか、およびその管理策がどのように機能したか。
- 生成、抑制、エスカレーション、または見逃されたすべてのアラート。
- 標的となった130アカウントすべてについてのアカウント別アクション台帳。
- どのダイレクトメッセージが読まれたか、または保持されたかの証拠。
- 7件のダウンロードそれぞれについてのアーカイブ内容と下流での使用。
- 正規の支払い、攻撃者による自己資金、回収、その後の移動を区別する完全な被害者損失台帳。
- インシデント後のコミットメントについての独立して監査された完了報告書。
また、公開説明には文言上の緊張もある。Twitter は130のアカウントについて「標的」という語を用い、公開ツイート、受信箱アクセス、アーカイブダウンロードをそのサブセットとして説明した。NYDFS はある箇所で130すべてを侵害されたと呼んだ。最も安全な解釈は、情報源の用語を保持し、その後にアクション別の数値を記載することだ。公開証拠は、攻撃者が130すべてを同様に完全に制御し利用したと言うことを正当化しない。
事件中に内部ツールのスクリーンショットが出回り、KrebsOnSecurity のアカウント市場分析のような信頼できる報道は、OG アカウント経済と仲介者を文書化するのに役立った。スクリーンショットは完全なアーキテクチャ図ではない。インターフェースのラベルはフィールドと能力を明らかにし得るが、バックエンドの認可境界、ログ、あらゆる管理策の状態を証明するものではない。
Twitter は、効果を保護するために修復の詳細を意図的に制限したが、これは合理的なインシデント対応の選択である。時間の経過とともに、説明責任は依然として、修正された根本原因と約束を区別する証拠を要求する。セキュリティキー、縮小されたアクセス、トレーニング、演習、新しい CISO、改善された監視についての公開説明は方向性を示す。それらは、網羅性、例外、テスト結果、または同様の移転が失敗するかどうかを示さない。
説明責任は失敗した能力に対する制御に従う
最も明快な割り当ては機能によるものである。
| アクター | 事象前または事象中に制御していたこと | 説明責任の証拠またはアクション |
|---|---|---|
| 犯罪者および仲介者 | 通話、フィッシング基盤、認証情報の使用、内部偵察、アカウント売買、詐欺メッセージ、ビットコイン送信先、資金移動。 | 刑事捜査、訴追、没収、命じられた場合の被害者賠償、デバイスおよび通信証拠の保全。 |
| Twitter のセキュリティおよびアイデンティティチーム | 従業員認証、管理対象デバイス、ネットワークアクセス、ツール認可、セッション管理、監視、インシデント対応。 | フィッシング耐性アクセス、最小権限、役割の再認証、シーケンス認識監視、テストされた封じ込め、完全な特権アクションの監査可能性を実証する。 |
| Twitter のサポート、トラスト、法務オペレーション | 内部ツールのビジネスニーズ、ケースプロセス、アカウント変更、コンテンツ管理、法的要請処理。 | 日常的なサポートをアイデンティティ移転権限から分離し、目的と承認を要求し、普遍的特権なしに緊急経路を維持する。 |
| Twitter の経営陣および取締役会 | セキュリティリーダーシップ、リスク選好、リソース、リモートワーク変更管理、規制コンプライアンス、修復監視。 | 意思決定に有用な指標を受け取り、集中した権限に異議を唱え、完了を検証し、コミュニケーション継続性をエンタープライズリスクとして扱う。 |
| アカウント所有者 | 自身の認証情報、スタッフのアクセス、認可されたサードパーティツール、代替通信チャネル。 | 強力な認証を使用し、委任を最小化し、代替チャネルを事前公表し、投稿を監視し、迅速な否認を訓練する。しかし、Twitter の内部管理画面は制御できない。 |
| 暗号資産企業 | 顧客の取引管理、送信先スクリーニング、送金摩擦、アラート、詐欺対応。 | 既知の詐欺アドレスを迅速にラベリングしてブロックし、インテリジェンスを共有し、証拠を保全し、すべての送金が取消可能であると主張することなく明確に伝達する。 |
| 規制当局および法執行機関 | 監督要請、法的手続き、企業間調整、刑事捜査、管轄内での公的知見。 | 主張と認定を区別し、国境を越えて迅速に調整し、プラットフォーム全体の権限に見合った証拠を求める。 |
| メッセージ受信者 | クリックするか、送金するか、独立した検証を求めるか。 | 不可能なリターンには懐疑的になり、別のチャネルを通じて検証する。ただし、プラットフォームが汚染された真正性シグナルを提供したことを認識する。 |
この割り当ては、二つの単純化された結論を退ける。第一は、その提案が明らかに詐欺的だったのだから利用者に責任がある、というものだ。見抜いた人もいれば、そうでない人もいた。詐欺法とセキュリティ設計は、人々が信頼された表現に基づいて行動するために存在する。第二は、個々のビットコイン送金についてすべて Twitter が単独で責任を負う、というものだ。犯罪者は詐欺を設計・実行し、決済仲介者や利用者はそれを阻止する異なる機会を持っていた。Twitter の特有の責任は、他のいかなるアクターも実行できなかったもの、すなわち信頼された発言者を移転させる内部権限を制限し観測することだった。
説明責任のあるプラットフォームが生成できるはずの証拠
永続的な教訓は、「より多くのトレーニングを」とか「ハードウェアキーを使用せよ」ではない。どちらも重要ではあるが。重要なのは、高影響度の管理権限を測定可能にすることだ。同等に公共的に重要なプラットフォームは、攻撃者を助ける詳細を暴露することなく、以下の問いに答える管理レジスターを生成できるべきである。
権限:何人の人間とサービスアカウントが、非公開アカウントデータの閲覧、連絡先属性の変更、パスワードリセット、MFA の変更、アーカイブのリクエスト、利用者に代わる公開、またはコンテンツの抑制ができるか? これらの機能のうち二つ以上を組み合わせられるのは何人か?
目的:すべての特権アクションが、ケース、ポリシー根拠、認可された役割に関連付けられているか? オペレーターは業務上の理由なく、任意の著名アカウントを検索できるか? 役割が変わったときにアクセス権は再認証されるか?
証明:サポート支援による移転の前に、どのような証拠が要求されるか? その証拠は、受け付けた連絡から独立しているか? 政府、緊急、金融、メディア、非常に大規模なアカウントでは基準は上がるか?
承認:どのアクションに二人の人間、または独立したサービスの同意が必要か? 第二の承認者は、単に承認リクエストを受け入れるのではなく、元の証拠を見ることができるか?
検出:異常なアカウント変更、一括アーカイブリクエスト、無関係な著名アカウントへの繰り返しのアクセス、または共通の金融的送信先に対して、適用される検出時間はどの程度か? 監視はセッションを自動的に終了させられるか?
封じ込め:どの機能が独立して撤回できるか? 対応者は、公共安全コミュニケーションを維持しつつ、リスクの高い復旧操作を凍結できるか? ステータスチャネルは、疑わしいアイデンティティ境界の外側で管理されているか?
継続性:通常の公開が利用できないとき、公共機関や高影響度の顧客は何を使用するか? 代替手段は、事前にオーディエンスに対して認証されているか?
証拠:誰が何を閲覧し、変更し、承認し、エクスポートしたかを再構築するのに十分なほど、ログは完全か? それらは、そのアクションを記録されている同じ管理者から保護されているか? どのくらいの期間保持されるか?
修復:アクセス削減、セキュリティキーの展開、監視ルール、プロセス変更が機能していることを誰が検証するか? どのような例外が残っているか? 最後の敵対的演習はいつだったか?
救済:影響を受けた利用者は、理解可能なアクション履歴を入手し、制御を回復し、セッションを保護し、可能性のあるデータ露出を理解し、通常のケースと同じキューに並ぶことなく訓練されたサポートに繋がることができるか?
指標は、サービスとセキュリティの間の緊張を露わにすべきだ。サポート時間の中央値だけが速度に報いる。特権利用者の数だけが無差別な制限に報い得る。より良い指標には、役割別のセンシティブなアクション、独立した承認付きの割合、ブロックまたは取り消された高リスク変更、所有者通知の配信率、検出された異常なシーケンス、削除された陳腐な権利、緊急チャネル演習の結果、影響を受けた利用者に信頼できる事実を提供するまでの時間が含まれる。
真の損失は、誰に発言権があるかについての不確実性だった
2020年7月の乗っ取りは、その後の多くのサイバーインシデントと比較すると金銭的には控えめだった。その重要性は、到達された権限に由来する。クラウドサービスの背後にあるサポートツールが、世界的に認知された発言者を誰が制御するかを決定できた。その意思決定プロセスが破壊された途端、プラットフォームの最も価値ある信頼シグナルは攻撃者のために働き、即座にとられた最も安全な対応は、はるかに広範な人口にわたる正当なコミュニケーションを制限することだった。
Twitter は結果的に重要な行動を取った。アクセスを排除し、ツールを制限し、アカウントを回復し、影響を受けた利用者に通知し、従業員の権限を縮小し、セキュリティキーを加速させ、トレーニングと演習を拡大し、CISO を採用した。金融機関は、詐欺アドレスに到達した額よりもはるかに大きな未遂の流出をブロックした。捜査当局は迅速に動き、後の答弁では一部の参加者の責任が確定した。
これらの結果は、本件を成功物語にするものではない。それらは、一つの復旧面が失敗した後に、どれほど多くの代償的努力が必要だったかを示している。従業員、対応者、アカウント所有者、金融機関、規制当局、法執行機関、利用者は皆、Twitter だけが設計し得た集中された権限によって生み出されたコストを吸収した。
したがって、説明責任の基準は、述べるのは簡単だが満たすのは難しい。すなわち、声を回復する力は、声そのものと同じくらい注意深く保護されなければならない。市場、政治、緊急情報、日常的な評判に組み込まれたプラットフォームにとって、管理サポートは舞台裏の便宜ではない。それはコミュニケーション基盤の一部である。11万8000ドルの詐欺はその基盤を可視化した。未解決のリスクは、同じ権限が発し得た他のすべてのことであった。

