FOLLOW US
  • twitter

ツイッターに裏アカ・匿名アカウント特定をまねく不具合、540万人分の名簿データをハッカーが販売

テクノロジー Other
Ittousai

Ittousai

  • twitter

テクノエッジ編集長。火元責任者兼任 @Ittousai_ej

特集

Twitter
  • Twitter
  • Twitter
  • Twitter

Twitterに匿名アカウントの身元特定につながる脆弱性があり、悪用したハッカーが540万件にのぼる名簿データを販売していたことが分かりました。

Twitter社はこの脆弱性について、すでに修正済みであるものの対策前に悪用されたこと、サンプルを調査して本物のユーザーデータであったと確認できたことを認めています。ハッカーが取得したのは匿名・仮名アカウントを含むTwitterアカウントIDと、紐づいた電話番号やメールアドレスを組にしたデータ

Twitter社は影響を受けたユーザーへ直接告知する計画であること、今後こうした問題の影響を軽減するためユーザー側が設定すべきプライバシー対策についても説明しました

問題の脆弱性は、Twitterアカウントに登録した電話番号やメールアドレスなど、本来は外部に非公開のはずの情報が照会可能になっており、任意の電話番号やメールアドレスからTwitter ID(アカウントID)を特定できた内容。2021年6月に更新したコードが原因だったとされています。

Twitter 社によれば、今年1月のバグ報告に基づきすみやかに修正しており、当時は悪用された証拠は見つからなかったものの、今年7月になってからネット上の情報で漏洩を把握したとしています。

Twitter社は影響を受けたと考えられるアカウント数を明かしていないため、ハッカーが主張する540万件のデータがすべて本物かどうかは分かりません。

しかし電話番号やメールアドレスと、対応するTwitterアカウントIDを含むということは、身元を明かしていないアカウントの特定につながる電話番号やメールアドレスに加えて、身元を明かしているアカウントの非公開の電話番号やメールアドレス等を含むと考えられます。

今年7月に売り手のハッカーと接触して名簿について伝えたBleeping Computer によれば、Twitter がこの脆弱性を把握して修正する前は、誰でもメールアドレスや電話番号から紐づいたTwitterアカウントが存在するか確認でき、存在する場合はアカウントIDまで取得できる状態でした。

(TwitterのアカウントIDは、内部的にユーザーを一意に識別するための数字ID。@で始まるユーザー名を変更してもアカウントIDは不変。)

脆弱性は「メールアドレスや電話番号」から「TwitterアカウントID」を取得する内容で、その逆ではありません。このため、どこにも公開していないメールアドレスや電話番号ならばまず入力されないため漏れた危険はないのではと思えますが、メールアドレスや電話番号は公開していないつもりでも様々なサービスから漏洩していたり、知人の連絡先に入れられて第三者と共有されている場合もあり、名簿が大量に出回っています。

また今回の脆弱性を悪用して作られた名簿データはアカウントIDと電話番号やメールアドレス等のペアを含むために、これを取得すれば「アカウントIDからメールアドレスや電話」も調べられることになります。

自分のアカウントが含まれていたかについて。Twitterは「この問題の影響を受けたことが確認できたアカウント」に対しては直接通知すると説明しているものの、あくまで確認できた範囲であって、漏洩の全貌について把握できているのかは言明していません。

ユーザーが取れる対策は特になし。すでに情報が出回っている場合、当然ながらいまからシステム上の電話番号を変更しても取り返しはつきません

Twitterはそのうえで、一般的なアカウント保護の手段として、認証アプリを利用した二要素認証を有効にするよう勧めています。

また匿名・仮名アカウントについてプライバシー上のリスクとなる可能性があったことを認め、可能な限り匿名性を高めるには、紐付けて登録するメールアドレスや電話番号は周囲に知られていないものにすることを推奨しています。

(「誰にも知られていない電話番号」は、楽に発行できるメールアドレスよりハードルが高いように思われますが、Twitterが勧めたのは仮名アカウント運営にあたり「可能な限り身元を隠すため」の手段として。

知り合いに裏アカウントがバレたら恥ずかしい程度ならともかく、身を守るために仮名で情報を発信するTwitterユーザーには、現実の身元が判明するとたとえば政府組織から追われる場合もあります)

問い合わせフォームも利用可能

自分の匿名アカウントや個人情報が出回っていないか、特定されないか不安な場合、Twitterのフォームから問い合わせができます。

データ保護に関するお問い合わせフォーム

漏洩していた場合、個人情報とTwitterアカウントを使ったフィッシング詐欺メールに使われる可能性があります。またもし漏洩していなくても、今回の件について不安を感じるユーザーを狙った、Twitterサポートを装った詐欺などにも十分注意してください。 

不安を煽ったり、確認や修正のためと称したメールやリンクがあっても開かず、確実に本物と確認できない限り何も入力しないことが重要です。見た目の本物らしさでフィッシングは判断できないので、送られてきたリンク等はそのまま開かず、自分で従来どおりの方法でサービスにアクセスしたり、サポートを確認する必要があります。

《Ittousai》
Ittousai

Ittousai

  • twitter

テクノエッジ編集長。火元責任者兼任 @Ittousai_ej

特集

あなたへのおすすめ

AIと人間、どちらが描いたかは意味がなくなる。日本初のAI画集(紙)を出すアーティスト、852話さんが考えていること 画像
テクノロジー

AIと人間、どちらが描いたかは意味がなくなる。日本初のAI画集(紙)を出すアーティスト、852話さんが考えていること

日本初の紙でのAI画集を出版するアーティストにインタビューしました。

松尾公也
松尾公也
Logitech Gのクラウド携帯ゲーム機『Cloud』正式発表。12時間駆動で350ドルのAndroid端末 画像
ゲーム

Logitech Gのクラウド携帯ゲーム機『Cloud』正式発表。12時間駆動で350ドルのAndroid端末

Logitech がクラウド専用ゲーム機を正式発表しました。名称はシンプルに『Cloud』。ゲーミングブランド

Ittousai
Ittousai
地獄の沙汰もノリ次第なFPS音ゲー『Metal:Hellsinger』発売。メタル界の大物多数参加、ビートと一緒に悪魔も刻む爽快感 画像
ゲーム

地獄の沙汰もノリ次第なFPS音ゲー『Metal:Hellsinger』発売。メタル界の大物多数参加、ビートと一緒に悪魔も刻む爽快感

ゲームパブリッシャーFuncomが、『Battlefield 3』『Pay Day 2』などを手がけたDavid Goldfarb氏が立ち上げたThe Outsiders制作のリズムFPSゲーム『Metal:Hellsinger』を発売しました。

Munenori Taniguchi
Munenori Taniguchi
二次元キャラに強い中国の画像生成AI『ERNIE-ViLG』、検閲で「プーさん」は描けず。NGワード多数 画像
テクノロジー

二次元キャラに強い中国の画像生成AI『ERNIE-ViLG』、検閲で「プーさん」は描けず。NGワード多数

中国のIT大手Baidu(百度)が開発し、二次元キャラの生成に強いことでも話題になっている画像生成AI「ERNIE-ViLG」で、特定のワードを使った画像生成がブロックされることをMIT Technology Reviewが伝えています。

Munenori Taniguchi
Munenori Taniguchi
iPhone 14 / 14 Pro本日発売。先行レビュー&新機能まとめ 画像
ガジェット

iPhone 14 / 14 Pro本日発売。先行レビュー&新機能まとめ

2022年9月16日、ついにiPhone 14 / iPhone 14 Proシリーズが発売となりました。ここではiPhone 14 / iPhone 14 Proの先行レビュー、発表時の情報をまとめてお届けします。

こばやしなおき
こばやしなおき
テクノエッジ創刊のご挨拶 画像
テクノロジー

テクノエッジ創刊のご挨拶

初めましての方は初めまして。そうでないかたは大変お待たせしました。テクノロジーメディア TechnoEdge テクノエッジ、本日より始動します。

Ittousai
Ittousai