SECの報告書、XアカウントのハッキングにSIMスワップ攻撃が関与していたことを明らかに

米証券取引委員会（SEC）は、スポット Bitcoin 上場投資信託（ETF）の承認に関する虚偽の情報が拡散することになった「SIMスワップ」攻撃の被害者であったことを認めた。. 

SECは公式声明で、Xアカウントに関連付けられた携帯電話番号が不正に取得され、その後Twitterアカウント@SECGovのパスワードがリセットされたことを明らかにしました。このdent 、複数のスポット Bitcoin ETF申請が実際に承認される2日前に発生しました。.

SECのSIMスワップ攻撃で脆弱性が露呈

SECは を確認した 。これは、攻撃者が標的の電話番号を別の端末に再割り当てすることで、その番号を乗っ取る手法である。 

この権限のない当事者は、SIMスワップを通じてSECのTwitterアカウントを侵害し、 Bitcoin ETFの承認に関する誤解を招く情報を投稿することに成功した。.

このdentの後、SEC は通信事業者と協力し、攻撃者がどのようにして SEC の X アカウントに関連付けられた SIM を変更するよう通信事業者を説得できたのかを調査を開始しました。. 

さらに、彼らは、攻撃者が SEC のアカウントにリンクされた特定の電話番号をどのようにdentしたかを理解しようとしている。.

攻撃前に多要素認証が無効化されていた

SEC によって明らかにされた懸念すべき事実の 1 つは、ハッキングが発生する 6 か月前に、組織内のスタッフが (MFAX アカウントの 

この決定はアカウントへのアクセスが困難であったために行われ、MFA は 1 月 9 日の攻撃後まで復元されませんでした。.

重要なセキュリティ層として機能する MFA が削除されたことが、SIM スワップ技術を通じて権限のない第三者がアカウントを制御できる脆弱性の一因となった可能性があります。.

dentを捜査する法執行機関

今回の情報漏洩を受け、法執行機関はSIMスワップ攻撃を取り巻く状況について積極的に捜査を進めている。捜査の主な焦点は、攻撃者がどのようにして通信事業者を説得し、 SECの Xアカウントに関連付けられたSIMカードを変更させたのかを解明することである。 

さらに、当局は、攻撃者がSECのアカウントにリンクされた特定の電話番号をどのようにdentしたかを調査している。.

SECは、現時点では、不正な第三者がSECの他のシステム、機密データ、または他のソーシャルメディアアカウントにアクセスしたことを示す証拠はないと述べています。この事実は、侵害の範囲が限定的であり、主にSECのTwitterアカウントに影響を与えていたことをある程度裏付けています。.

スポット Bitcoin ETFの迅速な承認

わずか翌日、dent SECは複数のスポット Bitcoin ETFの 申請を正式に承認しました。これらのETFは1月11日に取引を開始し、暗号通貨市場に正当性と活気をもたらしました。 

この迅速な承認は、これらの金融商品の発売を待ち望んでいた投資家や愛好家にとって安堵となった。.