概要

  • 制御の失敗は窃取よりも重大だった。攻撃者は電話によるソーシャルエンジニアリングで従業員の認証情報を入手し、内部プロセスを学習し、アカウントサポート権限を持つ従業員に接触し、Twitter 自身のツールを 130 のアカウントに対して使用した。Twitter は 45 アカウントからツイートが送信され、36 アカウントのダイレクトメッセージ受信箱がアクセスされ、7 アカウントのアーカイブがダウンロードされたと発表した。これらは異なる行動と影響を受けた人々であり、侵害の定義として互換的に使えるものではない。
  • この管理ツールは公共のコミュニケーションの依存要素だった。それはパスワードリセットを支援し、アカウント状態を変更し、連絡先やログイン情報を露出し、正当な所有者からの制御移転を助けることができた。その権限が悪用されると、本物のアカウントバッジ、フォロワーグラフ、投稿履歴が他人の主張の配信インフラと化した。Twitter の封じ込め措置により、多くの正規の認証済みアカウントがツイートやパスワード変更をできなくなり、その中には情報発信を試みる公的機関も含まれていた。
  • 目に見えた詐欺は金銭的に小規模だったが、運営上は重大な示唆を与えた。ニューヨーク州金融サービス局は、奪われたビットコインを約 11 万 8,000 ドルと算出した。同局が規制する企業は、約 134 万 7,000 ドル相当の送金試行を阻止したと報告し、一方で少数の顧客が阻止が有効になる前に約 2 万 2,000 ドルを失った。この対比は、上流で生じた信頼の失敗を下流の制御がどれほど迅速に補わなければならなかったかを示している。
  • 責任は並列的であり、同等ではない。犯罪者は欺き、不正アクセス、アカウント売買、詐欺メッセージ、窃取を制御した。Twitter はサポート権限の範囲、認証、アクセス再認定、監視、高リスク承認、封じ込め、復旧、公表を管理した。アカウント所有者や金融プラットフォームは下流の損失を減らせたかもしれないが、Twitter の内部コンソールを設計したり監査したりすることはできなかった。
  • 公開記録は攻撃経路と影響について高い信頼性を示しているが、完全なフォレンジック復元ではない。NYDFS、Twitter、刑事告発、後の有罪答弁、ブロックチェーン分析、企業提出書類は主要な流れで一致している。しかし、完全な認証経路、全ての特権的行動、侵害された各従業員の正確な権限、全てのセッション証拠、検出アラート、または各修復の独立した完了証拠は開示されていない。

リカバリー機能は公共の広場の一部だった

ソーシャルネットワークは外から見ると出版サービスのように見える。利用者がサインインし、メッセージを書き、フォロワーに配信する。その単純な行動の背後には、一般ユーザーが決して目にすることのない、より強力なサービスが存在する。アカウントの復旧、関連メールアドレスの変更、パスワードのリセット、多要素認証の無効化、不正行為の調査、ルールの執行、法的要請への対応、そして正当な所有者がロックアウトされた際のアクセス回復のための仕組みだ。

その仕組みは必要不可欠である。人々はデバイスを紛失し、企業はスタッフが入れ替わり、アカウントは誤って停止される。しかし、あらゆる復旧機能は同時に、もう一つの認証システムでもある。要求者がアカウントを所有する資格があると判断する従業員は、単にカスタマーサービスを提供しているのではなく、身元の権限を行使しているのだ。

ニューヨーク州金融サービス局(NYDFS)の調査は、Twitter の内部ツールが、関連するメールアドレス、電話番号、ログイン IP アドレスなどの非公開アカウント情報を露出していると説明している。権限を与えられた従業員は、それらを使ってメールアドレスの更新、パスワードのリセット、多要素認証の有効化・無効化を行うことができた。一部のツールは、コンテンツの執行や法的要請への対応もサポートしていた。これは、身元、プライバシー、発言、そして制度的なコンプライアンスのための複合的な表面だった。

2020 年 7 月 15 日、その内部の表面が、バラク・オバマ、ジョー・バイデン、イーロン・マスク、ビル・ゲイツ、Apple、Uber、暗号資産交換業者、その他の著名アカウント所有者として発言する手段となった。詐欺師たちは、一からオーディエンスを築いたり、アカウントを模倣したりする必要はなかった。彼らは本物のアカウントの名前、履歴、認証シグナル、フォロワーをそのまま引き継いだ。サービス自体の真正性の表現が、説得力の層を提供したのだ。

したがって、盗まれた金額が少額であることは誤解を招く可能性がある。約 11 万 8,000 ドルは失った人々にとって重大だが、この事件の上限ではない。それは、封じ込めが行われる前の一つの午後に、一つのグループが一つの慌ただしい詐欺で生み出した結果に過ぎない。グローバルなコミュニケーションサービスへの管理アクセスは、はるかに大きなオプション価値を持っていた。それは、虚偽の企業開示を公表したり、証券価格を操作したり、公共安全メッセージを捏造したり、危機の際に正当なアカウントを抑制したり、プライベートな通信を公開したり、選挙期間中に政治的主張を注入したりするために使用される可能性があった。

これらの反実仮想を、実際にそのような害が発生したという主張に変えてはならない。それらは、制御設計が、観察されたケースの窃取価値ではなく、権限に比例していなければならない理由を説明している。米国証券取引委員会(SEC)は長年にわたり、Twitter 上でのポンプ・アンド・ダンプのプロモーションを含む、投資操作スキームにおいてソーシャルメディアを通じて虚偽の主張が拡散される可能性について警告してきた。NYDFS はまた、2013 年の AP 通信アカウント乗っ取りを引き合いに出し、偽のホワイトハウス爆発ツイートの後に、急速で一時的な市場価値の喪失が続いたことを指摘した。Twitter は単に会話をホストしていただけではない。それは、自動化システム、投資家、ジャーナリスト、当局者、そして一般の人々が行動を起こす可能性のある声明を流していたのだ。

1 日の攻撃には 3 つの商業的段階があった

最も明確な公的再構築は、NYDFS の 2020 年 10 月の報告書である。これは、召喚状、インタビュー、文書、規制下にある暗号資産会社への調査に基づいている。Twitter 自身のセキュリティインシデントのアップデートは、同社のカウントと説明を提供している。刑事訴訟はアカウント販売とビットコインの流れに関する証拠を追加するが、訴状の申し立ては、後で認められるか証明されない限り、申し立てのままである。

この事件は、区別のつかない単一の「ハッキング」ではなかった。それは、ある種のアクセスが次のアクセスをより安価にする一連の流れだった。

東部時間出来事説明責任上の意義
7 月 14 日 午後電話をかけてきた人物たちが、同社の IT ヘルプデスクを装い、VPN の問題に言及しながら、複数の Twitter 従業員に連絡した。リモートワークでよくある問題が口実を尤もらしくした。内部サポートプロセスへの信頼が侵入の糸口となった。
7 月 14 日~15 日従業員は偽の VPN ページに誘導された。攻撃者は取得した認証情報を本物のサービスに入力し、多要素認証の承認リクエストを生成し、一部の従業員がそれを承認した。パスワードとプッシュ承認が、ライブリレーを通じて同時に突破された。多要素認証は存在したが、そのトランザクションは検証者偽装に対する耐性がなかった。
7 月 15 日 早朝最初の従業員アクセスが内部サイトの閲覧や、他のアプリケーションやアカウントサポートプロセスの学習に使われた。最初に侵害された ID は、最終的なアカウント管理権限を持っていなかったと報告されている。内部知識が、より権限の高い標的を選択するコストを下げた。
7 月 15 日 午前 3 時頃~午前 10 時頃参加者たちは、希少価値の高い短い(OG)アカウント名の取得と販売について話し合った。最初の収益化モデルは、大量詐欺ではなく、アカウントの卸売りだった。希少なハンドルネームの市場が、管理アクセスに即時の転売価値を与えた。
午後 2 時直前乗っ取られた OG アカウントが内部ツールの画像を投稿した。特権アクセスの公的証拠が、その能力を宣伝し、インシデント進行中に運用情報を暴露した。
午後 2 時 16 分以降ある暗号資産トレーダーのアカウントが、ビットコインを募るダイレクトメッセージに使われた。非公開の働きかけが、大々的な公開キャンペーンの前に盗まれた権限を試した。
午後 3 時 18 分暗号資産企業の乗っ取りが始まった。Twitter のインシデント対応チームは既に不審な電話やログインを調査していた。内部警告は公開段階の前または最中に存在したが、攻撃者は依然としてエスカレートする十分な権限を保持していた。
午後 3 時 26 分~4 時 12 分10 の暗号資産関連アカウントが、倍返しオファーのバリエーションで乗っ取られた。本物のアカウント全体での繰り返しが、見かけ上の裏付けを生み出し、オーディエンスを拡大した。
午後 4 時 17 分~6 時 05 分政治、テクノロジー、エンターテイメント、ビジネスの著名アカウントが詐欺メッセージを送信し、一部は繰り返した。キャンペーンはニッチなアカウント市場から、制度的・個人的信頼の世界的な悪用へと移行した。
午後 5 時 45 分Twitter がセキュリティインシデントを公に認めた。最初のプラットフォーム全体の認知は、暗号資産アカウント段階が始まってから 2 時間以上経ってからだった。
午後 6 時 18 分以降Twitter は多くの認証済みアカウントのツイートやパスワード変更を制限し、最近変更されたアカウントの一部をロックした。封じ込めは、正当な通信機能も奪うことで攻撃者の能力を低下させた。
午後 6 時 59 分NYDFS は規制下の暗号資産企業に対し、まだ行っていない場合、投稿されたアドレスをブロックするよう指示した。セクター規制当局と金融仲介機関が、ソーシャルプラットフォームのインシデント制御ループの一部となった。
午後 8 時 41 分Twitter は、ほとんどのアカウントがツイートを再開できるが、機能に一貫性がない可能性があると発表した。広範な発信は、全てのアカウントサポートとフォレンジックの結果が解決される前に再開された。

この一連の流れは、一つの不正確な話を否定する。すなわち、全ての権限を持つ一人の従業員が一度騙され、その後すぐに有名人のアカウントから詐欺が投稿されたというものだ。NYDFS は、最初に侵害された従業員は必要なアカウント管理アクセスを持っていなかったことを発見した。侵入者はその足がかりを使って内部プロセスを学習し、その後、より関連性の高いアクセス権を持つ従業員を標的にした。Twitter も同様に、最初に標的となったスタッフの全員がアカウント管理権限を持っていたわけではないと述べた。

これは、組織の知識を通じたラテラルムーブメントである。内部文書、アプリケーション名、役割の説明、サポート手順は、最初の ID が最終的なアクションを実行できなくても、特権付与のデータになり得る。最小権限は攻撃者を遅らせたが、最初の ID が依然として次の人物を選んで欺くのに有用な情報に到達できたため、封じ込めには至らなかった。

従業員の欺き、ツールへのアクセス、乗っ取り、詐欺は異なる出来事である

良い説明責任は動詞から始まる。4 つの異なることが起こり、それぞれに異なる制御所有者と証拠の痕跡がある。

第一に、従業員がソーシャルエンジニアリングされた。NYDFS は、電話をかけてきた人物たちが社内 IT を装い、リモートワーク中のよくある VPN 問題に言及し、個人情報を使って信頼性を高め、従業員を偽のログインページに誘導したことを突き止めた。報告書は、従業員が故意に幇助した証拠は見つからなかったとしている。これを「内部犯行」と呼ぶことは、その調査結果と矛盾する。単に「人為的ミス」と呼ぶことは、外部からの電話、再利用可能な認証情報、承認されたプッシュ通知だけでネットワーク侵入に十分だったシステムを無視することになる。

第二に、従業員の ID が内部システムに到達した。最初のアカウントはイントラネット情報への経路を提供した。後に侵害された認証情報は、アカウントサポートツールへのアクセスを提供した。内部ネットワークへのアクセスは、すべての管理者機能へのアクセスと同じではなく、どちらもユーザーアカウントの所有と同じではない。この区別は、アクセスセグメンテーションを評価する際に不可欠である。

第三に、サポート権限がアカウント制御の移転や行使に使用された。45 のアカウントについて、Twitter は攻撃者がパスワードリセットを開始し、ログインし、ツイートできたと述べた。連邦政府のニマ・ファゼリに対する刑事告訴と支援宣誓供述書は、ある人物が内部パネルアクセスを実演し、仲介者を使って望ましいユーザーネームの制御を販売した市場を主張した。ジョセフ・オコナーが関与した後の手続きでは、不正なアカウントアクセスが購入され、アカウントが正当な所有者から移転されたことが説明された。これはサービスとしての ID 窃取であり、内部ツールが在庫となっていた。

第四に、一部の制御されたアカウントが詐欺を配信した。送ったビットコインの 2 倍を返すという虚偽の約束がなされた。アカウントは本物だったが、提案は偽りだった。詐欺的なツイートは、ソースの真正性とメッセージの真正性の間のギャップを悪用した。認証バッジは、Twitter がそのアカウントを公的人物や組織と関連付けていることを示す可能性がある。しかし、内部 ID システムが破壊された後、特定のメッセージを正当な所有者が作成したことを証明することはできなかった。

4 つの段階は、4 つの個別の制御テストを意味する。

  1. 電話をかけてきた人物は、説得力を持ってヘルプデスクを模倣し、従業員のログインをリレーできたか?
  2. 新たに認証された従業員 ID は何を学習または到達できたか?
  3. 影響力の大きいアカウントの制御を変更するために、どのような追加の証明や承認が必要だったか?
  4. 多くの著名アカウントが状態を変更し、同様の金融勧誘を投稿した際に、どのような異常検知やトランザクション摩擦が適用されたか?

トレーニングは最初の質問に関連する。それは他の 3 つに対する完全な答えではない。

インシデントの数値は異なる種類の害を測定する

Twitter の最終的な公表数字は、標的となったアカウント 130 件、ツイート送信 45 件、ダイレクトメッセージの受信箱アクセス 36 件、Twitter データのダウンロード 7 件だった。以前の会社報告ではダウンロードは最大 8 件とされていたが、後のアップデートで 7 件に修正された。NYDFS は、内部ツールがデータリクエストを生成したがデータはダウンロードされなかった別の 52 アカウントについて報告した。

これらの数字は合算すべきではない。なぜなら、グループは重複している可能性があるからだ。また、130 件をビットコイン詐欺に使用された 130 アカウントと記述すべきではない。広範なインシデントレベルでの「標的」または「侵害」には、公開投稿以上のものが含まれる。利用可能な証拠は、いくつかの害の分類を裏付けている。

害の分類公的証拠証明されていないこと
アカウント制御の喪失一部のアカウントで状態が変更され、45 のアカウントがツイートに使用された。各アカウントの正確な期間、行動順序、復旧コスト。
不正な公開発言本物のアカウントから詐欺メッセージが送信され、一部は複数回送信された。すべてのフォロワーがメッセージを見たり、信じたり、行動を起こしたりしたとは限らない。
非公開メッセージの露出Twitter は 36 アカウントの受信箱がアクセスされたと述べた。完全なログや攻撃者の証拠なしでは、どの個別メッセージが読まれ、コピーされ、撮影され、保存されたかは不明。
アカウントアーカイブの抽出7 つのアカウントデータアーカイブがダウンロードされた。いずれも認証済みアカウントのものではなかった。各アーカイブのすべてのフィールドが後に使用または開示されたわけではない。
非公開サポートツールの露出内部ビューにはアカウントの連絡先やログイン情報が含まれていた。各標的アカウントについて表示されたフィールドの完全なセットや、スクリーンショットがそれらをキャプチャしたかどうか。
直接的な金銭的損失NYDFS は奪われたビットコイン総額を約 11 万 8,000 ドルとした。規制企業は、自社のブロックが有効になる前に約 2 万 2,000 ドルの顧客損失が発生したと報告した。各送金者の身元と状況、攻撃者による自己資金注入が総受取額を水増ししたかどうか、各被害者の最終的な回収状況。
サービスの制限封じ込め中、多くの認証済みアカウントがツイートやパスワード変更を行えなくなり、その後のアカウントサポートも遅延した。公開メッセージの遅延に関する完全なグローバルリストや、各中断の経済的価値。
信頼と評判の損失Twitter の年次報告書は、信頼喪失、規制上のエクスポージャー、影響を受けたアカウントへの損害の可能性を認めた。本インシデントのみに起因する正確な因果関係の金額。

受信箱アクセスとアーカイブダウンロードの区別は特に重要である。ダイレクトメッセージの受信箱はアカウント内で閲覧できる。データアーカイブは、より広範なアカウント情報を含む生成されたパッケージである。NYDFS はアーカイブの内容に、プロフィール情報、ツイート、メッセージと添付メディア、フォロワーとフォロー中のリスト、アドレス帳データ、推測された人口統計情報、広告インタラクション情報が含まれる可能性があると説明した。リクエストはダウンロードを意味せず、ダウンロードは含まれるすべてのレコードが悪用された証拠にはならない。

Twitter は、影響を受けたアカウント所有者と直接連絡を取り、ロックアウトされた人々のアクセスを回復したと述べた。同社の2020 年の Form 10-Kは、侵害されたアカウントからの不正な通信が個人の安全、評判、ブランドを損なう可能性があり、7 月の事件が法務、財務、信頼上の結果をもたらす可能性があることを認めた。証券リスク開示は独立したフォレンジックの結論ではない。しかし、同社自身がビットコインの受取アドレスを超えた損害を認識していたことを示すため、有用である。

不正利用の連絡経済は、電話をかける側に有利だった

この攻撃は、不正利用の連絡経済を的確に示している。サポート組織は、正当な人々にとっての摩擦を減らすために構築されている。専門知識を集中させ、スタッフにツールを与え、手順を文書化し、ケースが解決されたかどうかを測定する。これらの特徴はサービスコストを下げる。同時に、攻撃者が安価に繰り返し連絡を取り、部分的な失敗から情報を収集し、最終的に大きな権限を持つ判断を下す人物に到達できる場合、不正行為の限界費用も下げる可能性がある。

攻撃者は、これまで知られていなかったソフトウェアエクスプロイトを必要としなかった。準備と、説得力のある話術、模倣サイト、従業員の詳細、十分な試行回数が必要だっただけである。失敗した電話はほとんどコストがかからなかった。成功した電話は認証情報を生み出した。最終的な権限がない認証情報でも、内部偵察は可能だった。偵察は別の従業員を特定した。サポートツールへの一つの成功した経路は、それから多くのアカウント乗っ取りといくつかの収益化戦略を支えた。

これは深刻な非対称性を生み出す。

  • 攻撃者は多くの人物に電話をかけることができるが、従業員はそれぞれ一見普通のサポート対話を経験する。
  • 攻撃者は拒否から学習するが、従業員はそれらの電話が一つのキャンペーンを形成していることを認識できない可能性がある。
  • 電話をかける側は時間と口実を選べるが、従業員は実際のリモートワークの問題に対処しているかもしれない。
  • 会社は、すべての正当なサポートケースを遅くした場合の偽陽性コストを全額負担する。
  • 一度の誤った承認が、失敗したすべての電話のコストをはるかに上回る価値のあるアクセスを生み出す可能性がある。
  • 下流の損失は、アカウント所有者、メッセージ受信者、金融機関、公的機関、対応者、プラットフォームに分散する。

サポートは依然として機能しなければならなかった。Twitter はペイオフを変える必要があった。高リスクの復旧には、公開プロフィールから収集したり、同じ電話で聞き出したりできない証拠が必要とされるべきである。復旧された ID は、以前のすべての特権を即座に受け取るべきではない。機密性の高い変更は、独立した通知を生成し、最も影響力の高いアカウントについては、第二者の承認または遅延を必要とするべきである。繰り返しの試行は、従業員間で相関付けられるべきである。

同じロジックはインシデント後にも当てはまる。ツールを制限することで攻撃者の機会は減少したが、Twitter は正当なアカウントサポート、不正報告、開発者リクエストへの対応が遅くなった。セキュリティ摩擦は、侵害前に十分に選択的に適用されていなかったため、大量に再導入された。コストはリスクの高い行動から、助けを待つすべてのユーザーに移動した。

小さな詐欺が、より大きな支払い試行の流れを生み出した

ブロックチェーンの記録は、この出来事の一部を異常なほど可視化している。1 週間後のChainalysis のレビューは、広告された 3 つのアドレスが 13.14 ビットコイン(当時の価値で約 12 万ドル)を受け取ったことを発見した。また、約 2 万ドルが詐欺を活発に見せかける一般的な手法として、おそらく攻撃者が管理する不審なアドレスから来ていると評価した。この分析は、総受取額が被害者の損失と必ずしも同一ではないことを意味する。NYDFS は、盗まれた額として約 11 万 8,000 ドルを使用した。

連邦政府の訴状は、主要アドレスへの数百の入金と迅速な移動を説明した。公開ブロックチェーンは送金先と移動を観察可能にしたが、帰属には依然として調査作業、サービス記録、通信、法的手続きが必要だった。「追跡可能」は自動的に取り消し可能を意味しなかった。ビットコインの送金は、確認されると、一部の消費者決済システムで利用可能なチャージバック経路を提供しなかった。

NYDFS の調査は、より示唆に富む比較を提供している。規制下にある 4 社が、詐欺アドレスへの顧客による約 134 万 7,000 ドルの送金試行を積極的にブロックしたと報告した。

  • Coinbase は約 5,670 件、約 129 万 4,000 ドル相当の送金試行をブロックした。
  • Square は 358 件、約 5 万 1,000 ドル相当をブロックした。
  • Gemini は 2 件、約 1,800 ドル相当をブロックした。
  • Bitstamp は 1 件、約 250 ドル相当をブロックした。

Gemini、Square、Coinbase は規制当局に対し、ブロックが有効になる前にごく少数の顧客が約 2 万 2,000 ドルを送金したと述べた。NYDFS はこれらを、調査対象の規制企業の中で報告された唯一の顧客損失であると説明した。これらの値は完全なグローバルな被害者台帳ではなく、ブロック総額も盗まれた金額ではない。これは特定の企業によって報告された、防止された流出試行である。

これらの数字は依存関係の連鎖を明らかにする。Twitter は、信頼されたアカウントが詐欺アドレスを配信できるかどうかを制御した。暗号資産企業は、認識された後、そのアドレスに自社サービスの顧客が送金できるかどうかを制御した。顧客は支払いを開始するかどうかを制御したが、意図的に偽造されたソースシグナルの下でその選択を行った。NYDFS は規制企業への監督上のコミュニケーションを制御した。法執行機関と分析企業はアドレスのラベル付けと追跡を支援した。

企業は Twitter を修復しなかった。彼らは、送金先インテリジェンスとトランザクション制御を適用することによって別の層で補償した。既知の詐欺アドレスを認識できる金融仲介機関はそれをブロックする役割を持っていたが、Twitter のアクセス設計を制御してはいなかった。ユーザーは倍返しオファーを疑うべきだが、それが現れた本物のアカウントを制御してはいなかった。同時並行の義務は、失敗した機能に対する排他的な制御を持つ当事者を消し去るものではない。

封じ込めは正当な発言者を不能にした

Twitter は困難なインシデント対応の問題に直面した。最初は、どの従業員のセッションやツールが信頼できるかわからなかった。通常の運用を継続すると、さらなる乗っ取りのリスクがあった。アクセスを制限すると、調査とサービスの復旧を試みている人々の妨げになる。同社は広範な制御を選択した。内部システムへの従業員アクセスを取り消すか制限し、多くの認証済みアカウントのツイートやパスワード変更を制限し、最近パスワードを変更したアカウントをロックした。

その決定は封じ込めとして擁護可能だった。それはまた、サービスの中断でもあった。NYDFS は、自身のアカウントを含め、公的機関がアカウントにアクセスできなかったと報告した。WIRED による Twitter の対応の再構築は、国立気象局がそのアカウントを通じて竜巻注意報を送信できなかったと報じた。

これこそが、このケースの中心にあるクラウドサービス依存である。組織は独自のメッセージを作成し、スタッフを管理できるかもしれないが、一般の人々にリーチするためにホストされたソーシャルプラットフォームに依存している場合、発信能力はプロバイダーの ID とインシデント制御に依存する。顧客は、アカウントのフォロワー、履歴、認証コンテキストを数分で第二のプロバイダーにフェイルオーバーすることはできない。バックアップのウェブサイト、メーリングリスト、警告サービス、または第二のソーシャルチャネルは情報を伝達できるが、必ずしも同じオーディエンスに、または同じ社会的証明を持って伝わるわけではない。

したがって、封じ込めのトレードオフは、単なるセキュリティ上の決定ではなく、継続性の要件として扱われるべきである。公共の安全と制度的な通信を担うプラットフォームは、インシデントの前に少なくとも 4 つの質問に答えられるべきである。

  1. すべての信頼された発信者を沈黙させることなく、高リスクの管理アクションを中断できるか?
  2. 緊急時または公共の利益に関するアカウントは、個別に保護された経路を通じて継続できるか?
  3. 自身のアカウントと従業員の ID が疑わしい場合に、独立して制御されたチャネルを通じてインシデントステータスを伝達できるか?
  4. 組織は、危機の前に確立された認証済みのフォールバックにオーディエンスをリダイレクトできるか?

特権的な ID プレーンが信頼されていない間は、完璧な答えはないかもしれない。だからこそ、その範囲が重要なのである。一つの管理機能がアカウントを復旧し、封じ込め中に広範な発言制限を強制できる場合、サポートツールの設計は回復力の設計となる。

Twitter は、アクセス制限がアカウントサポート、報告されたツイートの処理、開発者プラットフォームアプリケーションも遅らせたと述べた。復旧は詐欺ツイートが停止したときに終わらなかった。遅延したすべての正当なケースは、運用コストの一部だった。一部の遅延は安全な封じ込めの代償であり、一部は、対応者がもはや信頼できないアクセスの背後に多くの機能を集中させた結果だった。

認証はアカウントを認証したが、その瞬間を認証したわけではなかった

この詐欺は、よくある思考の近道を悪用した。つまり、本物のアカウントは本物のメッセージを意味すると仮定することである。認証はその近道を強化した。それは、公共の利益に関するアカウントが、代表する人物や組織に関連付けられていることをユーザーに伝えた。それは、各投稿に対するアカウント所有者による暗号署名ではなかった。

管理ツールが制御を変更できる状態になると、プラットフォームの認証は、現在のセッションがもはや尊重していない ID の関係を証明し続けた。パスワード、メールアドレス、多要素認証の状態が変更されても、バッジは消えなかった。したがって、プラットフォームの信頼シグナルと復旧システムは結合されていた。復旧の決定が、誰がバッジの説得力を継承するかを決定したのだ。

これには実際的な結果がある。影響力の高いアカウントの変更は、日常的な投稿とは異なる扱いを受けるべきである。プラットフォームは、クーリング期間、追加レビュー、目立つ所有者への通知、金融勧誘に対する一時的な制限、またはサポート支援による復旧後の可視的な状態変更を適用できる。各措置にはコストが伴う。遅延は、積極的な不正行為に直面しているアカウント所有者に害を及ぼす可能性がある。公開警告は、機密性の高い復旧を開示する可能性がある。コンテンツルールは回避される可能性がある。しかし、摩擦がまったくない場合、単一の管理上の決定が蓄積された信頼を即座に移転させることを許してしまう。

2020 年 9 月の Twitter の投稿「選挙関連アカウントのセキュリティ改善」は、より強力なログイン防御、パスワードリセット保護、指定されたグループに対する二要素認証の推奨または要件化について説明した。これらは関連する下流の保護策だったが、7 月の事件は、ユーザー側の多要素認証だけでは、アカウント状態をリセットまたは変更できる内部サポートツールを制約できないことを示した。ログイン時の著名ユーザーの保護と、従業員の復旧経路の保護は、別個の制御問題である。

「多要素認証を使え」は正しいが不十分だった

侵害された従業員はアプリケーションベースの多要素認証を使用していた。NYDFS は、攻撃者が従業員がフィッシングサイトとやり取りしている間に、取得した認証情報を本物の Twitter ログインに入力したことを発見した。本物のログインが承認リクエストを生成し、一部の従業員がそれを承認した。第二の要素は、デバイスの所持と承認の意思を確認した。それは、従業員が自ら開始したトランザクションで意図されたサービスに対して認証していることを確立しなかった。

Twitter は後に、従業員向けにフィッシング耐性のあるセキュリティキーの展開を加速したと述べた。その投稿「Twitter を安全に保つための継続的な取り組み」では、より多くのトレーニング、ペネトレーションテスト、シナリオプランニング、プライバシーレビュー、侵害された認証情報からの不正な内部システムアクセスを減らす取り組みについても説明された。

設計の区別は、後の連邦ガイダンスによって裏付けられている。NIST は、フィッシング耐性認証が、取得された認証材料が正規のサービスに再生されるのを防ぐために暗号化バインディングを使用し、特に権限の高いユーザーに対してそれを推奨していると説明している。この 2023 年の説明はベンチマークであり、2020 年 7 月に Twitter が何を展開していたかの証明ではない。NYDFS は独自に、物理的なセキュリティキーがあれば、自らが再構築したリレー認証経路を阻止できたはずだと述べた。

フィッシング耐性のある従業員ログインでさえ、最初の認証情報の窃取にしか対処しない。それは、あまりにも多くの役割が高権限のツールに到達できたかどうか、サポートアクションに第二の承認者が必要だったかどうか、復旧されたアカウントが即座に投稿できたかどうか、アーカイブ生成が異常だったかどうか、またはセッションが監視されていたかどうかといった質問には答えない。強力な認証はドアを守る。承認、プロセス設計、監視が、入室後に何が起こるかを決定する。

2020 年 8 月に公開された NIST のゼロトラストアーキテクチャは、ネットワークの場所だけに基づく暗黙の信頼を拒否し、リソースにアクセスする前に個別の認証と承認を要求するため、ここで有用である。その原則を適用することは、この事件をスローガンに変えることを要求しない。それは、有効な VPN セッションが、すべての内部プロセスページを閲覧したり、高リスクのアカウント変更を実行したりする継続的な権利を自動的に確立すべきではないことを意味する。リソースの機密性、デバイスの状態、ユーザーの役割、トランザクションのコンテキスト、最近の行動が決定に影響を与えるべきである。

リカバリーはログインの弱いコピーになってはならない

ユーザーアカウントのセキュリティは、しばしば玄関で評価される。パスワードの品質、多要素認証の登録、不審なログインの検出である。内部サポート経路はそのドアの隣にある。サポートがより弱い証明でメールアドレスを変更したり、パスワードをリセットしたり、多要素認証を無効化したりできるならば、サポートプロセスが実際の保証レベルを定義することになる。

OWASP のパスワード忘れのガイダンスは、サイドチャネルトークン、レート制限、リセット後の通知、セッションの無効化を推奨している。その多要素認証テストのガイダンスは、多要素認証のリセットは、多要素認証メカニズムと同じ真剣さでテストされるべきであるという中心点を示している。これらは一般的なアプリケーションセキュリティのリファレンスであり、インシデント固有の法的基準ではない。

グローバルプラットフォームの内部の復旧オペレーションにとって、説明責任のあるパターンはより厳格である。

  • 検索権限と変更権限を分離し、アカウントを閲覧できることがそれを移転する能力を意味しないようにする。
  • 目的に紐付いたケース識別子を要求し、機密性の高いアクションのポリシー根拠を記録する。
  • 影響力の高いアカウントや高リスク属性の変更には、独立した承認を取得する。
  • 従業員のアクセスを管理対象デバイスとフィッシング耐性認証にバインドする。
  • 変更の前または直後に、既存のチャネルを通じてアカウント所有者に通知する。
  • ID 属性が変更された場合、既存のセッションを取り消すかレビューする。
  • サポート支援による復旧後、異常にリスクの高い行動を一時的に制限する。
  • アカウント、従業員、送金先、メッセージテンプレート全体での変更をリアルタイムで相関付ける。
  • オペレーターとは別の監視チームから見える改ざん耐性のある監査証拠を保存する。
  • 緊急時の例外には、非公式な裁量ではなく、明示的で記録された経路を与える。

この設計は一部の正当なケースを遅くするだろう。そのコストは、関与する権限に対して測定されるべきである。Twitter は、アカウントメンテナンス、コンテンツレビュー、および関連業務のために、1,000 人以上の従業員が内部ツールにアクセスしていたと述べた。NYDFS は、そのアクセスはリスクに対して広範すぎると結論付け、Twitter が作業は遅くなったものの、事件後にそれを縮小したと指摘した。トレードオフは、ゼロアクセス対インスタントサポートではない。それは、稀で ID を移転するアクションにはより多くの証明を要求しつつ、一般的なタスクが効率的であり続けるように、狭い能力を如何に分配するかである。

監視は単独の行動ではなく、一連の流れを理解する必要があった

どの単一のイベントも決定的に見えるとは限らなかった。多要素認証付きのログインが成功した。内部ページが開かれた。アカウントのメールアドレスが変更された。アーカイブが要求された。復旧されたアカウントがビットコインアドレスを投稿した。各アクションには、単独では正当な説明があり得た。

一連の流れは異常だった。複数の従業員が同様の電話を受けた。一つの ID が内部システムを探索した。複数の高価値アカウントが制御を変更された。著名なアカウント全体で同様のメッセージが現れた。アーカイブが異常な規模で要求された。単一の送金先アドレスが繰り返し使用された。効果的な監視プログラムは、ID、サポートケース、管理アクション、コンテンツ、ネットワークイベントを、公開段階が成熟する前に連鎖を止めるのに十分な速さで相関付ける必要があった。

NYDFS は、一部の従業員が不審な電話を報告し、Twitter のインシデントチームが暗号資産企業の乗っ取りが始まる前に調査していたことを発見した。また、より強力な監視があれば、異常なアクティビティをよりリアルタイムに近い形で検出したり、危険なセッションを終了させたりできたはずだと結論付けた。この結論は、どのようなアラートが存在したか、どのような閾値が作動したか、誰がそれを見たか、または特定のアクションがなぜ継続したかを開示していない。完全なアラートの時系列を提供することなく、制御のギャップを裏付けている。

特権的なアクションを監視するには、後での調査のためにログを保持する以上のことが必要である。高品質の制御は、以下の質問に答えるだろう。

  • 定義された間隔内で、一人の従業員がいくつのアカウントのメール、パスワード、多要素認証の変更を行えるか?
  • 影響を受けたアカウントは、その従業員のキュー、地域、または割り当てられた機能とは無関係か?
  • アクションの前に、新しいデバイス、異常なネットワーク経路、または最近の認証情報の復旧があったか?
  • 従業員は通常の役割パターン外の内部文書にアクセスしたか?
  • 複数の復旧されたアカウントが即座に同じ金融アドレスや文言を公開したか?
  • 一致するユーザー主導のプロセスなしにデータアーカイブが要求されたか?
  • 監視は、侵害された可能性のあるオペレーターに依存せずにトランザクションを一時停止できるか?

目的は、従業員を有罪と決めつけることではない。侵害された ID と悪意のある内部関係者は、同様の技術的アクションを生み出す可能性がある。管理権限が期待されたコンテキスト外で行使されているのを捉えることによって、プラットフォームと同様に従業員を保護するべきである。

以前の FTC 命令がガバナンス問題をより鮮明にする

Twitter は、2020 年 7 月を、非常に特に関連性の高い規制履歴と共に迎えた。2010 年、連邦取引委員会(FTC)は、セキュリティの失敗により、2009 年に侵入者が管理権限を取得し、非公開情報にアクセスし、パスワードをリセットし、不正なツイートを送信することを許したと主張した。FTC の2011 年の訴状は、とりわけ、職務上の必要性に応じた管理アクセスの制限が不十分であったと主張した。

その結果としての2011 年の決定と命令は、法律違反が発生したという Twitter の承認を構成するものではなかった。それは義務を課した。Twitter は、非公開の消費者情報の保護について虚偽の説明をすることを禁じられ、包括的な書面による情報セキュリティプログラムを維持することを要求された。この命令は、従業員のトレーニングと管理、システム設計、攻撃、侵入、アカウント乗っ取り、不正な管理制御の防止、検出、対応をカバーするリスク評価を明示的に要求した。また、指定されたスケジュールで独立した評価を要求した。

その歴史は、2020 年 7 月の事件が FTC 命令に違反したことを証明するものではない。ここでレビューされた公開情報源には、乗っ取り自体が命令に違反したという FTC の認定は含まれておらず、独立した評価報告書も事件の記録と共に公開されていない。しかし、いくつかの疑問は不可避となる。プログラムはサポートツールの権限をどのように評価していたのか、評価結果は管理アクセスについて何と言っていたのか、リモートワークの変更はどのようにテストされたのか、そしてどのような証拠が上級管理職に伝わったのか。

2022 年に発表された別の FTC と司法省の措置は、2014 年から 2019 年の間に、セキュリティ目的で収集された電話番号とメールアドレスをターゲット広告に使用した Twitter の行為に関するものだった。FTC のケース記録司法省の和解発表は、1 億 5,000 万ドルの民事制裁金と追加のプログラム要件について説明している。その訴訟は 2020 年 7 月の乗っ取りを裁定しなかった。それは、既存の命令が継続的な効力を持ち、セキュリティと復旧の連絡先データが保護システムと広告ビジネスの両方に存在していたことを示すため、説明責任の記録に含まれる。

時系列は重要である。Twitter の 2020 年の年次提出書類は、ハッキングから 2 週間も経たない 7 月 28 日に FTC の訴状草案を受け取ったと述べたが、その訴状は以前の連絡先データの慣行に関するものだった。二つの案件を一つの違反の主張に組み合わせることは不正確だろう。それらを区別して置くことは、より広範なガバナンスの問題を明らかにする。アカウントのセキュリティは技術的な脇役の機能ではなかった。それは、管理特権、ユーザーコミュニケーション、個人データ、広告インセンティブ、規制上の約束、取締役会レベルのリスクを含んでいた。

刑事責任は複数の法域に分散された

最初の連邦政府による起訴は迅速に行われた。2020 年 7 月 31 日、司法省はメイソン・シェパードとニマ・ファゼリに対する告訴を発表し、少年事件はタンパの州検事に付託されたと述べた。リリースは、訴状の申し立ては証拠ではなく、被告は有罪が証明されるまで無罪と推定されることを明示していた。

フロリダ州は後に、グレアム・アイヴァン・クラークを州裁判所で起訴した。ヒルズボロ郡州検事の発表と審理に基づいたWUSF の答弁と判決に関する報道は、クラークが有罪を認め、フロリダ州の若年犯罪者制度の下で、少年施設での 3 年間の収容とその後の 3 年間の保護観察を受けたと報じた。この結果はクラークに対する個人の刑事責任を確立したが、Twitter の企業としての制御責任を解決するものではなかった。

スペインから引き渡された英国市民ジョセフ・ジェームズ・オコナーは、2023 年 5 月、Twitter の陰謀への関与を含む複数のスキームをカバーする罪状で有罪を認めた。司法省は、共謀者たちがソーシャルエンジニアリングを使って Twitter の管理ツールに到達し、アカウントの制御を移転し、一部を詐欺に使用し、他を販売したと述べた。2023 年 6 月、オコナーはより広範な犯罪グループに対して連邦刑務所で 5 年の刑を宣告された。Twitter の行為はその一部を形成した。

これらの記録は、被告ごとに読まれなければならない。シェパードとファゼリに対する最初の訴状は申し立てだった。クラークの答弁とオコナーの答弁は、後にそれぞれの認めた行為に関する結論を裏付ける。オコナーの 5 年の刑は、SIM スワップ、他のプラットフォーム乗っ取り、恐喝、ストーキング、脅迫もカバーしており、全てを Twitter の事件に割り当てることはできない。指名された人物の後の処分についての公的な沈黙は、有罪または無罪に変換されるべきではない。

刑事訴追は、証拠が訴訟を裏付ける場合に、不正アクセスと詐欺に対して誰が処罰されるかに答えた。それは、プラットフォームのアクセスアーキテクチャが比例していたかどうか、修復が全てのギャップを閉じたかどうか、またはユーザーが完全な救済を受けたかどうかには答えなかった。企業の説明責任と犯罪者の説明責任は、代替物ではなく共存できる。

公開記録が依然として示せないもの

複数の独立した記録が収束しているため、広範な出来事に対する信頼性は高い。質問がより技術的になるにつれて、信頼性は狭まるべきである。

公開記録は以下を提供しない。

  • 侵害された従業員の ID とその正確な役割の完全なリスト。
  • 電話を受けた従業員の数、成功率、完全な通話の時系列。
  • 各セッションのデバイス、VPN、ID プロバイダー、アプリケーションのログ。
  • 閲覧または行使された全ての内部ページ、アカウントフィールド、ツール機能。
  • 各ユーザーアカウントのメール、パスワード、多要素認証の状態を変更するために使用された正確なメカニズム。
  • 事件前のアクションに上司の承認が必要だったかどうか、およびその制御がどのように機能したか。
  • 生成、抑制、エスカレーション、または見逃された全てのアラート。
  • 標的とされた 130 の全アカウントに対するアカウントごとのアクション台帳。
  • どのダイレクトメッセージが読まれたか保持されたかの証明。
  • 7 件のダウンロードそれぞれのアーカイブ内容とその後の使用。
  • 真正な支払い、攻撃者の自己資金注入、回収、その後の移動を区別する完全な被害者損失台帳。
  • インシデント後のコミットメントに対する独立して監査されたクロージャレポート。

公的な説明には文言の緊張も存在する。Twitter は 130 アカウントを「標的」と表現し、公開ツイート、受信箱アクセス、アーカイブダウンロードをサブセットとして説明した。NYDFS は一部で 130 全てが侵害されたとした。最も安全な解釈は、情報源の用語を保持し、次にアクション固有の数字を述べることである。公開証拠は、攻撃者が 130 の全てを完全に制御し、同じ方法で使用したと言うことを正当化しない。

内部ツールのスクリーンショットが事件中に出回り、KrebsOnSecurity のアカウント市場分析などの信頼できる報道が、OG アカウント経済と仲介者の文書化を助けた。スクリーンショットは完全なアーキテクチャ図ではない。インターフェースのラベルはフィールドと機能を明らかにできるが、バックエンドの認可境界、ロギング、または全ての制御の状態を証明するものではない。

Twitter は、その有効性を守るために修復の詳細を意図的に制限した。これは合理的なインシデント対応の選択である。時が経つにつれて、説明責任は依然として、根本原因の修正と約束とを区別する証拠を必要とする。セキュリティキー、アクセス削減、トレーニング、演習、新しい CISO、改善された監視に関する公的な説明は方向性を示している。それらは、カバレッジ、例外、テスト結果、または同様の移転が失敗するかどうかを示さない。

説明責任は、失敗した機能の制御に従う

最もクリーンな割り当ては機能的である。

主体事件前または事件中に制御していたもの説明責任のある証拠または行動
犯罪者と仲介者電話、フィッシング基盤、認証情報の使用、内部偵察、アカウント販売、詐欺メッセージ、ビットコイン送金先、資金移動。刑事調査、起訴、没収、命令された被害者賠償、デバイスと通信証拠の保存。
Twitter のセキュリティおよび ID チーム従業員認証、管理対象デバイス、ネットワークアクセス、ツール認可、セッション制御、監視、インシデント対応。フィッシング耐性アクセス、最小権限、役割の再認定、シーケンス対応の監視、テストされた封じ込め、完全な特権アクションの監査可能性を実証する。
Twitter のサポート、トラスト、法務オペレーション内部ツールのビジネスニーズ、ケースプロセス、アカウント変更、コンテンツ制御、法的要請の処理。日常的なサポートを ID 移転権限から分離し、目的と承認を要求し、普遍的な特権なしに緊急経路を維持する。
Twitter の経営陣と取締役会セキュリティリーダーシップ、リスク選好、リソース、リモートワークの変更管理、規制遵守、修復の監督。意思決定に有用な指標を受け取り、集中した権限に異議を唱え、クロージャを検証し、通信の継続性を企業リスクとして扱う。
アカウント所有者自身の認証情報、スタッフのアクセス、認可されたサードパーティツール、フォールバック通信チャネル。強力な認証を使用し、委任を最小限に抑え、代替チャネルを事前に公開し、投稿を監視し、迅速な否認をリハーサルする。Twitter の内部コンソールを制御することはできない。
暗号資産企業顧客トランザクション制御、送金先スクリーニング、送金摩擦、アラート、詐欺対応。既知の詐欺アドレスを迅速にラベル付けしてブロックし、インテリジェンスを共有し、証拠を保存し、全ての送金が取消可能であると主張することなく明確に伝達する。
規制当局と法執行機関監督上の要請、法的手続き、企業間調整、刑事調査、管轄内の公的調査結果。申し立てと認定の区別を保持し、国境を越えて迅速に調整し、プラットフォーム全体の権限に比例した証拠を求める。
メッセージ受信者クリックするか、資金を送るか、独立した検証を求めるか。不可能なリターンに対して懐疑心を適用し、別のチャネルを通じて検証する。ただし、プラットフォームが破損した真正性シグナルを提供していたことを認識する。

この割り当ては、二つの単純化された結論を拒否する。第一に、オファーが明らかに詐欺的だったため、ユーザーに責任があるというものだ。一部の人はそれを認識したが、そうでない人もいた。詐欺法とセキュリティ設計は、人々が信頼された表現に基づいて行動するために存在する。第二に、Twitter が全てのビットコイン送金に対して単独で責任を負うというものだ。犯罪者は詐欺を設計し実行し、決済仲介機関とユーザーはそれを中断する異なる機会を持っていた。Twitter の特徴的な責任は、他のどの主体も実行できなかったもの、すなわち、信頼された声を移転した内部権限を制約し観察することだった。

説明責任のあるプラットフォームが生み出すべき証拠

永続的な教訓は、「より多くのトレーニングを行う」や「ハードウェアキーを使用する」ではない。どちらも重要であり得るが。重要なのは、影響力の高い管理権限を測定可能にすることである。同等の公共的重要性を持つプラットフォームは、攻撃者に役立つ詳細を暴露することなく、以下の質問に答える制御レジスターを生成できるべきである。

権限:何人(およびサービスアカウント数)が、非公開のアカウントデータを表示し、連絡先属性を変更し、パスワードをリセットし、多要素認証を変更し、アーカイブを要求し、ユーザーに代わって公開し、またはコンテンツを抑制できるか?これらの機能のうち 2 つ以上を組み合わせられるのは何人か?

目的:全ての特権アクションは、ケース、ポリシー根拠、および承認された役割に結び付けられているか?オペレーターは作業理由なしに任意の著名なアカウントを検索できるか?役割が変わったときにアクセス権は再認定されるか?

証明:サポート支援による移転の前にどのような証拠が必要か?その証拠は着信連絡とは独立しているか?政府、緊急時、金融、メディア、非常に大規模なアカウントに対して基準は上がるか?

承認:どのアクションに 2 人または別のサービスの合意が必要か?第二の承認者は、単に承認リクエストを受け入れるのではなく、元の証拠を見ることができるか?

検出:異常なアカウント変更、大量のアーカイブリクエスト、無関係な著名アカウントへの繰り返しのアクセス、または共通の金融送金先に対して、どの程度の検出時間が適用されるか?監視はセッションを自動的に終了できるか?

封じ込め:どの機能を独立して撤回できるか?対応者は、危険な復旧アクションを凍結しながら公共安全通信を維持できるか?ステータスチャネルは疑わしい ID 境界の外で制御されているか?

継続性:通常の公開が利用できない場合、公的機関や影響力の高い顧客は何を使用するか?フォールバックは事前にオーディエンスに対して認証されているか?

証拠:ログは、誰が何を表示、変更、承認、エクスポートしたかを再構築するのに十分に完全か?それらは、そのアクションを記録する同じ管理者から保護されているか?どのくらいの期間保持されるか?

修復:アクセス削減、セキュリティキーの展開、監視ルール、プロセス変更が運用されていることを誰が検証するか?どのような例外が残っているか?最後の敵対的演習はいつだったか?

救済:影響を受けたユーザーは、理解可能なアクション履歴を入手し、制御を回復し、セッションを保護し、起こり得るデータ露出を理解し、通常のケースと同じキューに並ぶことなく訓練されたサポートに到達できるか?

指標は、サービスとセキュリティの間の緊張を露わにすべきである。サポートの中央値時間だけではスピードを報いる。特権ユーザー数だけでは無差別な制限を報いる可能性がある。より良い指標には、役割別の機密アクション数、独立した承認を伴う割合、ブロックまたは反転された高リスクの変更、所有者への通知の配信、検出された異常なシーケンス、削除された古い権限、緊急チャネルの演習結果、影響を受けたユーザーに信頼できる事実を提供するまでの時間などが含まれる。

真の損失は、誰が発言する権利を持つのかについての不確実性だった

2020 年 7 月の乗っ取りは、その後の多くのサイバーインシデントと比較して金銭的には控えめだった。その重要性は、到達された権限に由来する。クラウドサービスの背後にあるサポートツールが、世界的に認知された声を誰が制御するかを決定できた。その決定プロセスが破壊されると、プラットフォームの最も価値ある信頼シグナルが攻撃者のために働き、最も安全な即時対応は、はるかに広い人口に対する正当な通信を制限することだった。

Twitter は実際に重要な行動を取った。アクセスを排除し、ツールを制限し、アカウントを復旧し、影響を受けたユーザーに通知し、従業員の権限を削減し、セキュリティキーの導入を加速し、トレーニングと演習を拡大し、CISO を雇った。金融機関は、詐欺アドレスに到達した額よりもはるかに大きな流出試行を阻止した。捜査当局は迅速に動き、後の有罪答弁により一部の参加者の責任が確定した。

これらの結果は、この事件をサクセスストーリーにはしない。それらは、一つのリカバリー機能が失敗した後に、どれだけ多くの補償努力が必要とされたかを示している。従業員、インシデント対応者、アカウント所有者、金融機関、規制当局、法執行機関、ユーザーは皆、Twitter だけが設計できた集中された権限によって生み出されたコストを吸収した。

したがって、説明責任の基準は、述べるのは簡単だが満たすのは難しい。声を回復する力は、声そのものと同じくらい注意深く保護されなければならない。市場、政治、緊急情報、日常の評判に組み込まれたプラットフォームにとって、管理サポートは舞台裏の便利さではない。それはコミュニケーションインフラの一部である。11 万 8,000 ドルの詐欺は、そのインフラを可視化した。答えのないリスクは、同じ権限が他に何を言えたかということだ。