Twitterの脆弱性で漏えいした540万人分の個人情報、ハッカーが一般公開 | ScanNetSecurity
2024.07.14(日)

Twitterの脆弱性で漏えいした540万人分の個人情報、ハッカーが一般公開

Twitterの脆弱性で漏洩した540万人分の個人情報が、ハッカーの手で一般公開されたことが分かりました。

インシデント・事故
Twitterアカウント540万件の漏洩情報をハッカーが配布。電話番号やメールから匿名アカウント特定のおそれ
  • Twitterアカウント540万件の漏洩情報をハッカーが配布。電話番号やメールから匿名アカウント特定のおそれ
  • Twitter
  • Twitter
  • Twitterアカウント540万件の漏洩情報をハッカーが配布。電話番号やメールから匿名アカウント特定のおそれ

Twitterの脆弱性で漏洩した540万人分の個人情報が、ハッカーの手で一般公開されたことが分かりました。

漏洩したアカウント情報には、Twitter IDやユーザー名といった公開の情報と、本来は非公開の電話番号やメールアドレスが含まれます。

つまりあなたの電話番号やメールアドレスを知っていれば、身元を明かさずに使っていたTwitterの匿名アカウントや裏アカウント等を特定できることになります。

逆にTwitterアカウントから、公開していない電話番号やメールアドレスを知ることも可能です。

この540万件のアカウント情報は、2021年夏から2022年1月前後までのあいだ存在したTwitterの脆弱性により漏洩したもの。

2022年8月にはTwitter社が漏洩の事実を認め、確認した一部のアカウントに対して直接連絡しています。

ツイッターに裏アカ・匿名アカウント特定をまねく不具合、540万人分の名簿データをハッカーが販売(2022年8月)

2022年7月の時点では、ハッカーが540万件の漏洩データを所持していると主張し、ごく一部のサンプルのみを掲示板で公開したうえで購入を呼びかけていました。

当時はこの一部のサンプルについて本物であることが確認できていましたが、今回は540万件の元データそのものが、誰でもアクセスできるハッキング掲示板に掲載され、ダウンロードが可能な状態です。

当初の生データは数GBでしたが、整理して圧縮したバージョンはわずか数十MB。当初から売り手のハッカーと接触しデータ漏洩を伝えていた BleepingComputerによれば、11月23日の投稿で一般に公開されていることから、すでに広範囲に拡散していると考えられます。

電話番号 / メールアドレスからTwitter IDを引ける脆弱性

もともとの脆弱性は、Twitterのパスワードを忘れた際の手続きに不備があり、任意の電話番号やメールアドレスから、紐付けられたTwitter IDを取得できた内容でした。

Twitter社はこの脆弱性が存在していたこと、通報を受けて修正したこと、またオンラインに漏洩した情報の一部が本物だったことは認めたものの、実際にどの程度の規模で悪用されたのか、把握できているのか否かも含めて回答していません。

漏洩したデータに含まれるメールアドレスや電話番号は、Twitterアカウントの作成時や、セキュリティ強化のため二要素認証を導入する際に入力を要求されるもの。

メールアドレスも電話番号も、登録時には「公開プロフィールには表示されません」と説明があり、非公開のはずの情報です。

あなたの電話番号やメールアドレスをすでに連絡先に保存しているユーザーに対して、Twitter上でアカウントを見つけられるようにしますか?についてはオンオフの設定があり、電話番号やメールアドレスを知っている知人にTwitterアカウントを晒したくない場合はオフにできました。

(登録時、ここでオフにしていても漏洩しています)

しかし今回漏洩した540万件にもし含まれていた場合、誰でも電話番号やメールからTwitterアカウントを、逆にTwitterアカウントから電話番号やメールアドレスを調べられることになります。

一方、たとえばメールアドレスや電話番号とTwitterアカウントを結び付けられる状態で最初から公開している人にとっては、漏洩データに載っていても特に何も変わりません。(名簿からフィッシング等のターゲットにされやすくなる可能性はありますが)

さらに大量漏洩の可能性も

掲示板を運営するハッカー「ポムポムプリン」によれば、今回公開された540万件のほかにも140万件の凍結アカウントの情報が漏洩しており、一部で共有されているとのこと。

またセキュリティ研究者 Chad Loder氏のMastodon投稿によれば、この540万件とは全く別のデータからなるアカウント情報漏洩も確認されており、おそらくは別の何者かが同じ脆弱性を悪用して取得したデータと考えられています。

こちらの件数や規模については、BleepingComputerは情報筋から1700万件超との数字を得ているものの、確認できていないとのこと。

大量に流出したTwitterアカウントデータのうち、日本国内のユーザーの割合がどの程度かは分かっていません。

もし2022年の1月より以前にTwitterに電話番号やメールアドレスを登録したことがあれば、この漏洩したデータに含まれている可能性があります。

対策は特になし。今後の便乗詐欺に注意

メールアドレス / 電話番号も Twitter IDも、すでに漏れて出回っている場合、いまから取れる対策は特になし。

ユーザー名を変えてもTwitter IDは変わらないため特定は可能です。アカウントを消して作り直す手もありますが、公開のアカウントであればネット上のさまざまな場所にアーカイブが作られているため、どのようなアカウントでどんな発言をしていたかを隠すのはあまり現実的ではありません。

逆に注意すべきこととしては、実際にこの漏洩したデータに自分のアカウント情報が含まれていてもいなくても、このニュースに便乗したフィッシング詐欺などに警戒する必要があります

たとえばTwitterサポートなどを名乗るメールで、あなたのアカウント情報が漏洩したことを確認したためパスワードをリセットしました、手続きを取らないとアカウントが削除されます、認証バッジを失います etc といった文面と、ログインを求めるリンクがあるなど。

本物のTwitterではないドメインに誘導してログインさせ乗っ取る目的の可能性があります。メールから辿らず、本物のTwitterと確認できる場合しか対応しないことが重要です。

Twitterアカウント540万件の漏洩情報をハッカーが配布。電話番号やメールから匿名アカウント特定のおそれ

《Ittousai》

編集部おすすめの記事

特集

インシデント・事故 アクセスランキング

  1. イセトーへのランサムウェア攻撃、リークサイトにダウンロード URL 出現も現在はファイルが消失

    イセトーへのランサムウェア攻撃、リークサイトにダウンロード URL 出現も現在はファイルが消失

  2. 「反社会的勢力への利益供与に応じず」ニデックインスツルメンツにランサムウェア攻撃

    「反社会的勢力への利益供与に応じず」ニデックインスツルメンツにランサムウェア攻撃

  3. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  4. 東証プライム上場企業運営「PR TIMES」に虚偽情報による企業登録、2 件のプレスリリース掲載

  5. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  6. イセトーへのランサムウェア攻撃で徳島県の個人情報も漏えい、委託業務完了後に報告書提出するも実際には削除されず

  7. 契約終了後もデータの削除を怠り保存が原因 ~ イセトーへのランサムウェア攻撃で和歌山市の個人情報も漏えい

  8. KADOKAWA グループへのランサムウェア攻撃、角川ドワンゴ学園に関する一部情報も漏えい

  9. イセトーへのランサムウェア攻撃で豊田市の推定 42 万人分の個人情報が漏えい、被害発生時は契約に基づき対応

  10. 「悪質な情報拡散を行う者には徹底的な法的措置」KADOKAWA グループへのランサムウェア攻撃

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×