Twitterに匿名アカウントの身元特定につながる脆弱性があり、悪用したハッカーが540万件にのぼる名簿データを販売していたことが分かりました。
Twitter社はこの脆弱性について、すでに修正済みであるものの対策前に悪用されたこと、サンプルを調査して本物のユーザーデータであったと確認できたことを認めています。ハッカーが取得したのは匿名・仮名アカウントを含むTwitterアカウントIDと、紐づいた電話番号やメールアドレスを組にしたデータ。
Twitter社は影響を受けたユーザーへ直接告知する計画であること、今後こうした問題の影響を軽減するためユーザー側が設定すべきプライバシー対策についても説明しました。
問題の脆弱性は、Twitterアカウントに登録した電話番号やメールアドレスなど、本来は外部に非公開のはずの情報が照会可能になっており、任意の電話番号やメールアドレスからTwitter ID(アカウントID)を特定できた内容。2021年6月に更新したコードが原因だったとされています。
Twitter 社によれば、今年1月のバグ報告に基づきすみやかに修正しており、当時は悪用された証拠は見つからなかったものの、今年7月になってからネット上の情報で漏洩を把握したとしています。
Twitter社は影響を受けたと考えられるアカウント数を明かしていないため、ハッカーが主張する540万件のデータがすべて本物かどうかは分かりません。
しかし電話番号やメールアドレスと、対応するTwitterアカウントIDを含むということは、身元を明かしていないアカウントの特定につながる電話番号やメールアドレスに加えて、身元を明かしているアカウントの非公開の電話番号やメールアドレス等を含むと考えられます。
今年7月に売り手のハッカーと接触して名簿について伝えたBleeping Computer によれば、Twitter がこの脆弱性を把握して修正する前は、誰でもメールアドレスや電話番号から紐づいたTwitterアカウントが存在するか確認でき、存在する場合はアカウントIDまで取得できる状態でした。
(TwitterのアカウントIDは、内部的にユーザーを一意に識別するための数字ID。@で始まるユーザー名を変更してもアカウントIDは不変。)
脆弱性は「メールアドレスや電話番号」から「TwitterアカウントID」を取得する内容で、その逆ではありません。このため、どこにも公開していないメールアドレスや電話番号ならばまず入力されないため漏れた危険はないのではと思えますが、メールアドレスや電話番号は公開していないつもりでも様々なサービスから漏洩していたり、知人の連絡先に入れられて第三者と共有されている場合もあり、名簿が大量に出回っています。
また今回の脆弱性を悪用して作られた名簿データはアカウントIDと電話番号やメールアドレス等のペアを含むために、これを取得すれば「アカウントIDからメールアドレスや電話」も調べられることになります。
自分のアカウントが含まれていたかについて。Twitterは「この問題の影響を受けたことが確認できたアカウント」に対しては直接通知すると説明しているものの、あくまで確認できた範囲であって、漏洩の全貌について把握できているのかは言明していません。
ユーザーが取れる対策は特になし。すでに情報が出回っている場合、当然ながらいまからシステム上の電話番号を変更しても取り返しはつきません。
Twitterはそのうえで、一般的なアカウント保護の手段として、認証アプリを利用した二要素認証を有効にするよう勧めています。
また匿名・仮名アカウントについてプライバシー上のリスクとなる可能性があったことを認め、可能な限り匿名性を高めるには、紐付けて登録するメールアドレスや電話番号は周囲に知られていないものにすることを推奨しています。
(「誰にも知られていない電話番号」は、楽に発行できるメールアドレスよりハードルが高いように思われますが、Twitterが勧めたのは仮名アカウント運営にあたり「可能な限り身元を隠すため」の手段として。
知り合いに裏アカウントがバレたら恥ずかしい程度ならともかく、身を守るために仮名で情報を発信するTwitterユーザーには、現実の身元が判明するとたとえば政府組織から追われる場合もあります)
問い合わせフォームも利用可能
自分の匿名アカウントや個人情報が出回っていないか、特定されないか不安な場合、Twitterのフォームから問い合わせができます。
漏洩していた場合、個人情報とTwitterアカウントを使ったフィッシング詐欺メールに使われる可能性があります。またもし漏洩していなくても、今回の件について不安を感じるユーザーを狙った、Twitterサポートを装った詐欺などにも十分注意してください。
不安を煽ったり、確認や修正のためと称したメールやリンクがあっても開かず、確実に本物と確認できない限り何も入力しないことが重要です。見た目の本物らしさでフィッシングは判断できないので、送られてきたリンク等はそのまま開かず、自分で従来どおりの方法でサービスにアクセスしたり、サポートを確認する必要があります。
