Twitter CEO ジャック・ドーシー氏のTwitterアカウントが8月31日4時44分ごろから少なくとも15分にわたってハックされ、攻撃者が多数のツイート・リツイートを投稿した(Twitter Commsのツイート、 The Vergeの記事[1]、 [2]、 Windows Centralの記事)。

ドーシー氏のTwitterアカウントは2016年にもハックされている。2016年の攻撃はOutMineによるもので、ドーシー氏のVineアカウントを乗っ取ってTwitterへの投稿が行われた。今回の攻撃はSMSを使用して携帯電話からTwitterに投稿する機能にSIMスワッピングを組み合わせたものだという。

SMSによるTwitter投稿は日本ではサポートされていないが、Twitterでは専用のショートコード宛にSMSを送信することで、携帯電話の電話番号と結びつけられたTwitterアカウントに投稿できる。SIMスワッピングとは本人に成りすまして携帯電話キャリアをだまし、新しいSIMカードへ携帯電話番号を移動するというものだ。Twitterでは今回の件について、携帯電話キャリアのミスだと説明している。

攻撃者は最近ソーシャルメディアの有名人のTwitterアカウントを次々にハックしているChucklingSquadなどと名乗るグループとみられている。Internet Archiveのスナップショットによると、ドーシー氏のTwitterアカウントには日本時間8月31日4時44分以降15分間にわたり、攻撃者が立て続けにツイート・リツイートを投稿している。すべて確認したわけではないが、リツイートされた元の投稿者はアカウント停止になっているようだ。