Twitterの脆弱性で漏洩した540万人分の個人情報が、ハッカーの手で一般公開されたことが分かりました。
漏洩したアカウント情報には、Twitter IDやユーザー名といった公開の情報と、本来は非公開の電話番号やメールアドレスが含まれます。
つまりあなたの電話番号やメールアドレスを知っていれば、身元を明かさずに使っていたTwitterの匿名アカウントや裏アカウント等を特定できることになります。
逆にTwitterアカウントから、公開していない電話番号やメールアドレスを知ることも可能です。
この540万件のアカウント情報は、2021年夏から2022年1月前後までのあいだ存在したTwitterの脆弱性により漏洩したもの。
2022年8月にはTwitter社が漏洩の事実を認め、確認した一部のアカウントに対して直接連絡しています。
ツイッターに裏アカ・匿名アカウント特定をまねく不具合、540万人分の名簿データをハッカーが販売(2022年8月)
2022年7月の時点では、ハッカーが540万件の漏洩データを所持していると主張し、ごく一部のサンプルのみを掲示板で公開したうえで購入を呼びかけていました。
当時はこの一部のサンプルについて本物であることが確認できていましたが、今回は540万件の元データそのものが、誰でもアクセスできるハッキング掲示板に掲載され、ダウンロードが可能な状態です。
当初の生データは数GBでしたが、整理して圧縮したバージョンはわずか数十MB。当初から売り手のハッカーと接触しデータ漏洩を伝えていた BleepingComputerによれば、11月23日の投稿で一般に公開されていることから、すでに広範囲に拡散していると考えられます。
電話番号 / メールアドレスからTwitter IDを引ける脆弱性
もともとの脆弱性は、Twitterのパスワードを忘れた際の手続きに不備があり、任意の電話番号やメールアドレスから、紐付けられたTwitter IDを取得できた内容でした。
Twitter社はこの脆弱性が存在していたこと、通報を受けて修正したこと、またオンラインに漏洩した情報の一部が本物だったことは認めたものの、実際にどの程度の規模で悪用されたのか、把握できているのか否かも含めて回答していません。
漏洩したデータに含まれるメールアドレスや電話番号は、Twitterアカウントの作成時や、セキュリティ強化のため二要素認証を導入する際に入力を要求されるもの。
メールアドレスも電話番号も、登録時には「公開プロフィールには表示されません」と説明があり、非公開のはずの情報です。
あなたの電話番号やメールアドレスをすでに連絡先に保存しているユーザーに対して、Twitter上でアカウントを見つけられるようにしますか?についてはオンオフの設定があり、電話番号やメールアドレスを知っている知人にTwitterアカウントを晒したくない場合はオフにできました。
(登録時、ここでオフにしていても漏洩しています)
しかし今回漏洩した540万件にもし含まれていた場合、誰でも電話番号やメールからTwitterアカウントを、逆にTwitterアカウントから電話番号やメールアドレスを調べられることになります。
一方、たとえばメールアドレスや電話番号とTwitterアカウントを結び付けられる状態で最初から公開している人にとっては、漏洩データに載っていても特に何も変わりません。(名簿からフィッシング等のターゲットにされやすくなる可能性はありますが)
さらに大量漏洩の可能性も
掲示板を運営するハッカー「ポムポムプリン」によれば、今回公開された540万件のほかにも140万件の凍結アカウントの情報が漏洩しており、一部で共有されているとのこと。
またセキュリティ研究者 Chad Loder氏のMastodon投稿によれば、この540万件とは全く別のデータからなるアカウント情報漏洩も確認されており、おそらくは別の何者かが同じ脆弱性を悪用して取得したデータと考えられています。
こちらの件数や規模については、BleepingComputerは情報筋から1700万件超との数字を得ているものの、確認できていないとのこと。
大量に流出したTwitterアカウントデータのうち、日本国内のユーザーの割合がどの程度かは分かっていません。
もし2022年の1月より以前にTwitterに電話番号やメールアドレスを登録したことがあれば、この漏洩したデータに含まれている可能性があります。
対策は特になし。今後の便乗詐欺に注意
メールアドレス / 電話番号も Twitter IDも、すでに漏れて出回っている場合、いまから取れる対策は特になし。
ユーザー名を変えてもTwitter IDは変わらないため特定は可能です。アカウントを消して作り直す手もありますが、公開のアカウントであればネット上のさまざまな場所にアーカイブが作られているため、どのようなアカウントでどんな発言をしていたかを隠すのはあまり現実的ではありません。
逆に注意すべきこととしては、実際にこの漏洩したデータに自分のアカウント情報が含まれていてもいなくても、このニュースに便乗したフィッシング詐欺などに警戒する必要があります
たとえばTwitterサポートなどを名乗るメールで、あなたのアカウント情報が漏洩したことを確認したためパスワードをリセットしました、手続きを取らないとアカウントが削除されます、認証バッジを失います etc といった文面と、ログインを求めるリンクがあるなど。
本物のTwitterではないドメインに誘導してログインさせ乗っ取る目的の可能性があります。メールから辿らず、本物のTwitterと確認できる場合しか対応しないことが重要です。