Twitterの脆弱性で漏えいした540万人分の個人情報、ハッカーが一般公開 | ScanNetSecurity
2023.01.30(月)

Twitterの脆弱性で漏えいした540万人分の個人情報、ハッカーが一般公開

Twitterの脆弱性で漏洩した540万人分の個人情報が、ハッカーの手で一般公開されたことが分かりました。

インシデント・事故
Twitterアカウント540万件の漏洩情報をハッカーが配布。電話番号やメールから匿名アカウント特定のおそれ
  • Twitterアカウント540万件の漏洩情報をハッカーが配布。電話番号やメールから匿名アカウント特定のおそれ
  • Twitter
  • Twitter
  • Twitterアカウント540万件の漏洩情報をハッカーが配布。電話番号やメールから匿名アカウント特定のおそれ

Twitterの脆弱性で漏洩した540万人分の個人情報が、ハッカーの手で一般公開されたことが分かりました。

漏洩したアカウント情報には、Twitter IDやユーザー名といった公開の情報と、本来は非公開の電話番号やメールアドレスが含まれます。

つまりあなたの電話番号やメールアドレスを知っていれば、身元を明かさずに使っていたTwitterの匿名アカウントや裏アカウント等を特定できることになります。

逆にTwitterアカウントから、公開していない電話番号やメールアドレスを知ることも可能です。

この540万件のアカウント情報は、2021年夏から2022年1月前後までのあいだ存在したTwitterの脆弱性により漏洩したもの。

2022年8月にはTwitter社が漏洩の事実を認め、確認した一部のアカウントに対して直接連絡しています。

ツイッターに裏アカ・匿名アカウント特定をまねく不具合、540万人分の名簿データをハッカーが販売(2022年8月)

2022年7月の時点では、ハッカーが540万件の漏洩データを所持していると主張し、ごく一部のサンプルのみを掲示板で公開したうえで購入を呼びかけていました。

当時はこの一部のサンプルについて本物であることが確認できていましたが、今回は540万件の元データそのものが、誰でもアクセスできるハッキング掲示板に掲載され、ダウンロードが可能な状態です。

当初の生データは数GBでしたが、整理して圧縮したバージョンはわずか数十MB。当初から売り手のハッカーと接触しデータ漏洩を伝えていた BleepingComputerによれば、11月23日の投稿で一般に公開されていることから、すでに広範囲に拡散していると考えられます。

電話番号 / メールアドレスからTwitter IDを引ける脆弱性

もともとの脆弱性は、Twitterのパスワードを忘れた際の手続きに不備があり、任意の電話番号やメールアドレスから、紐付けられたTwitter IDを取得できた内容でした。

Twitter社はこの脆弱性が存在していたこと、通報を受けて修正したこと、またオンラインに漏洩した情報の一部が本物だったことは認めたものの、実際にどの程度の規模で悪用されたのか、把握できているのか否かも含めて回答していません。

漏洩したデータに含まれるメールアドレスや電話番号は、Twitterアカウントの作成時や、セキュリティ強化のため二要素認証を導入する際に入力を要求されるもの。

メールアドレスも電話番号も、登録時には「公開プロフィールには表示されません」と説明があり、非公開のはずの情報です。

あなたの電話番号やメールアドレスをすでに連絡先に保存しているユーザーに対して、Twitter上でアカウントを見つけられるようにしますか?についてはオンオフの設定があり、電話番号やメールアドレスを知っている知人にTwitterアカウントを晒したくない場合はオフにできました。

(登録時、ここでオフにしていても漏洩しています)

しかし今回漏洩した540万件にもし含まれていた場合、誰でも電話番号やメールからTwitterアカウントを、逆にTwitterアカウントから電話番号やメールアドレスを調べられることになります。

一方、たとえばメールアドレスや電話番号とTwitterアカウントを結び付けられる状態で最初から公開している人にとっては、漏洩データに載っていても特に何も変わりません。(名簿からフィッシング等のターゲットにされやすくなる可能性はありますが)

さらに大量漏洩の可能性も

掲示板を運営するハッカー「ポムポムプリン」によれば、今回公開された540万件のほかにも140万件の凍結アカウントの情報が漏洩しており、一部で共有されているとのこと。

またセキュリティ研究者 Chad Loder氏のMastodon投稿によれば、この540万件とは全く別のデータからなるアカウント情報漏洩も確認されており、おそらくは別の何者かが同じ脆弱性を悪用して取得したデータと考えられています。

こちらの件数や規模については、BleepingComputerは情報筋から1700万件超との数字を得ているものの、確認できていないとのこと。

大量に流出したTwitterアカウントデータのうち、日本国内のユーザーの割合がどの程度かは分かっていません。

もし2022年の1月より以前にTwitterに電話番号やメールアドレスを登録したことがあれば、この漏洩したデータに含まれている可能性があります。

対策は特になし。今後の便乗詐欺に注意

メールアドレス / 電話番号も Twitter IDも、すでに漏れて出回っている場合、いまから取れる対策は特になし。

ユーザー名を変えてもTwitter IDは変わらないため特定は可能です。アカウントを消して作り直す手もありますが、公開のアカウントであればネット上のさまざまな場所にアーカイブが作られているため、どのようなアカウントでどんな発言をしていたかを隠すのはあまり現実的ではありません。

逆に注意すべきこととしては、実際にこの漏洩したデータに自分のアカウント情報が含まれていてもいなくても、このニュースに便乗したフィッシング詐欺などに警戒する必要があります

たとえばTwitterサポートなどを名乗るメールで、あなたのアカウント情報が漏洩したことを確認したためパスワードをリセットしました、手続きを取らないとアカウントが削除されます、認証バッジを失います etc といった文面と、ログインを求めるリンクがあるなど。

本物のTwitterではないドメインに誘導してログインさせ乗っ取る目的の可能性があります。メールから辿らず、本物のTwitterと確認できる場合しか対応しないことが重要です。

Twitterアカウント540万件の漏洩情報をハッカーが配布。電話番号やメールから匿名アカウント特定のおそれ

《Ittousai》

編集部おすすめの記事

特集

インシデント・事故 アクセスランキング

  1. システムに代理登録する際 委託事業者が患者情報を誤入力、別人に登録完了メール送信

    システムに代理登録する際 委託事業者が患者情報を誤入力、別人に登録完了メール送信

  2. デイサービス送迎時確認用、Microsoft Excel の名簿を誤送信

    デイサービス送迎時確認用、Microsoft Excel の名簿を誤送信

  3. ダブルチェックもれた理由は件名欄にメールアドレス記載、再犯防止の研修会で案内メール誤送信

    ダブルチェックもれた理由は件名欄にメールアドレス記載、再犯防止の研修会で案内メール誤送信

  4. 日本自動車輸入組合のサーバに不正アクセス、個人情報が漏えいした可能性

  5. 新⾞中古⾞販売のグッドスピードに不正アクセス「被害は一部のサーバにとどまる」

  6. 今日もどこかで情報漏えい 第7回「2022年に最も読まれたセキュリティ事件・事故・情報漏えい・不正アクセス記事 ベスト10」

  7. 東証プライム上場 タカミヤグループにランサムウェア攻撃、リークサイトへの掲載確認

  8. Youtubeチャンネル乗っ取り被害、サブチャンネルに報告動画をアップ

  9. 個人情報目的外利用 佐川急便の従業員が複数の顧客に電話

  10. 北関東マツダ委託先のサーバに不正アクセス、流出した顧客宛へのメール送信も確認

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×