Twitterの脆弱性で漏えいした540万人分の個人情報、ハッカーが一般公開 | ScanNetSecurity
2024.03.19(火)

Twitterの脆弱性で漏えいした540万人分の個人情報、ハッカーが一般公開

Twitterの脆弱性で漏洩した540万人分の個人情報が、ハッカーの手で一般公開されたことが分かりました。

インシデント・事故
Twitterアカウント540万件の漏洩情報をハッカーが配布。電話番号やメールから匿名アカウント特定のおそれ
  • Twitterアカウント540万件の漏洩情報をハッカーが配布。電話番号やメールから匿名アカウント特定のおそれ
  • Twitter
  • Twitter
  • Twitterアカウント540万件の漏洩情報をハッカーが配布。電話番号やメールから匿名アカウント特定のおそれ

Twitterの脆弱性で漏洩した540万人分の個人情報が、ハッカーの手で一般公開されたことが分かりました。

漏洩したアカウント情報には、Twitter IDやユーザー名といった公開の情報と、本来は非公開の電話番号やメールアドレスが含まれます。

つまりあなたの電話番号やメールアドレスを知っていれば、身元を明かさずに使っていたTwitterの匿名アカウントや裏アカウント等を特定できることになります。

逆にTwitterアカウントから、公開していない電話番号やメールアドレスを知ることも可能です。

この540万件のアカウント情報は、2021年夏から2022年1月前後までのあいだ存在したTwitterの脆弱性により漏洩したもの。

2022年8月にはTwitter社が漏洩の事実を認め、確認した一部のアカウントに対して直接連絡しています。

ツイッターに裏アカ・匿名アカウント特定をまねく不具合、540万人分の名簿データをハッカーが販売(2022年8月)

2022年7月の時点では、ハッカーが540万件の漏洩データを所持していると主張し、ごく一部のサンプルのみを掲示板で公開したうえで購入を呼びかけていました。

当時はこの一部のサンプルについて本物であることが確認できていましたが、今回は540万件の元データそのものが、誰でもアクセスできるハッキング掲示板に掲載され、ダウンロードが可能な状態です。

当初の生データは数GBでしたが、整理して圧縮したバージョンはわずか数十MB。当初から売り手のハッカーと接触しデータ漏洩を伝えていた BleepingComputerによれば、11月23日の投稿で一般に公開されていることから、すでに広範囲に拡散していると考えられます。

電話番号 / メールアドレスからTwitter IDを引ける脆弱性

もともとの脆弱性は、Twitterのパスワードを忘れた際の手続きに不備があり、任意の電話番号やメールアドレスから、紐付けられたTwitter IDを取得できた内容でした。

Twitter社はこの脆弱性が存在していたこと、通報を受けて修正したこと、またオンラインに漏洩した情報の一部が本物だったことは認めたものの、実際にどの程度の規模で悪用されたのか、把握できているのか否かも含めて回答していません。

漏洩したデータに含まれるメールアドレスや電話番号は、Twitterアカウントの作成時や、セキュリティ強化のため二要素認証を導入する際に入力を要求されるもの。

メールアドレスも電話番号も、登録時には「公開プロフィールには表示されません」と説明があり、非公開のはずの情報です。

あなたの電話番号やメールアドレスをすでに連絡先に保存しているユーザーに対して、Twitter上でアカウントを見つけられるようにしますか?についてはオンオフの設定があり、電話番号やメールアドレスを知っている知人にTwitterアカウントを晒したくない場合はオフにできました。

(登録時、ここでオフにしていても漏洩しています)

しかし今回漏洩した540万件にもし含まれていた場合、誰でも電話番号やメールからTwitterアカウントを、逆にTwitterアカウントから電話番号やメールアドレスを調べられることになります。

一方、たとえばメールアドレスや電話番号とTwitterアカウントを結び付けられる状態で最初から公開している人にとっては、漏洩データに載っていても特に何も変わりません。(名簿からフィッシング等のターゲットにされやすくなる可能性はありますが)

さらに大量漏洩の可能性も

掲示板を運営するハッカー「ポムポムプリン」によれば、今回公開された540万件のほかにも140万件の凍結アカウントの情報が漏洩しており、一部で共有されているとのこと。

またセキュリティ研究者 Chad Loder氏のMastodon投稿によれば、この540万件とは全く別のデータからなるアカウント情報漏洩も確認されており、おそらくは別の何者かが同じ脆弱性を悪用して取得したデータと考えられています。

こちらの件数や規模については、BleepingComputerは情報筋から1700万件超との数字を得ているものの、確認できていないとのこと。

大量に流出したTwitterアカウントデータのうち、日本国内のユーザーの割合がどの程度かは分かっていません。

もし2022年の1月より以前にTwitterに電話番号やメールアドレスを登録したことがあれば、この漏洩したデータに含まれている可能性があります。

対策は特になし。今後の便乗詐欺に注意

メールアドレス / 電話番号も Twitter IDも、すでに漏れて出回っている場合、いまから取れる対策は特になし。

ユーザー名を変えてもTwitter IDは変わらないため特定は可能です。アカウントを消して作り直す手もありますが、公開のアカウントであればネット上のさまざまな場所にアーカイブが作られているため、どのようなアカウントでどんな発言をしていたかを隠すのはあまり現実的ではありません。

逆に注意すべきこととしては、実際にこの漏洩したデータに自分のアカウント情報が含まれていてもいなくても、このニュースに便乗したフィッシング詐欺などに警戒する必要があります

たとえばTwitterサポートなどを名乗るメールで、あなたのアカウント情報が漏洩したことを確認したためパスワードをリセットしました、手続きを取らないとアカウントが削除されます、認証バッジを失います etc といった文面と、ログインを求めるリンクがあるなど。

本物のTwitterではないドメインに誘導してログインさせ乗っ取る目的の可能性があります。メールから辿らず、本物のTwitterと確認できる場合しか対応しないことが重要です。

Twitterアカウント540万件の漏洩情報をハッカーが配布。電話番号やメールから匿名アカウント特定のおそれ

《Ittousai》

編集部おすすめの記事

特集

インシデント・事故 アクセスランキング

  1. テレビ新潟放送網にサイバー攻撃、データが暗号化被害

    テレビ新潟放送網にサイバー攻撃、データが暗号化被害

  2. りゅうぎんキャッシュレスサービスのメンテナンス作業中に顧客情報を滅失

    りゅうぎんキャッシュレスサービスのメンテナンス作業中に顧客情報を滅失

  3. 理研計器の開発センターで放射性同位元素が所在不明に

    理研計器の開発センターで放射性同位元素が所在不明に

  4. JVCケンウッド タイ生産子会社サーバに不正アクセス

  5. 愛知陸運にランサムウェア攻撃、不審な電話やメールに注意呼びかけ

  6. マイクロソフト社員名乗る第三者が指示、商工会の業務用 PC 2 台に遠隔操作ソフトウェアをインストール

  7. 淀川河川公園施設予約システム「よどいこ!」で不正通信、個人情報流出の可能性

  8. 不動産の GRANDCITY 社員、不正アクセス禁止法違反容疑で逮捕

  9. アクサ生命の代理店向けシステム、担当外の顧客情報にアクセス可能

  10. 国分生協病院の画像管理サーバにランサムウェア攻撃、救急及び一般外来の受入に制限

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×