ニュース

Twitterが大量アカウントデータ流出を事実と認める ~約540万人以上に影響か

電話番号やメールアドレスなどが漏洩。2要素認証の有効化を呼び掛け

Twitter Privacy Centerのページ

 米Twitterは8月5日(現地時間)、同社が提供するSNSサービス「Twitter」のゼロデイ脆弱性(すでに修正済)が悪用され、大量のTwitterアカウントに関連づけられた電話番号やメールアドレスが流出したことを明らかにした。

 原因となった脆弱性は2022年1月、同社のバグ報奨金プログラムを通じて報告を受けたもの。メールアドレスまたは電話番号をTwitterに送信すると、同システムはどのTwitterアカウントがそのメールアドレスと電話番号と関連づけられているのかを通知してしまうという脆弱性だった。同社によると、発生原因は2021年6月に行なわれたコード更新によるもので、ただちに該当コードを修正。その時点では本脆弱性の悪用は確認されていなかったという。

 しかし、今年7月にRestore PrivacyBleeping Computerといった複数のメディアによる報道を通じて、同社は本脆弱性が悪用されていることを知り、何者かがアカウントデータを編集した後に販売している事実を確認した。販売されたデータのサンプルを調査した結果、脆弱性を修正する前のデータであったことが確認されたという。

 Twitterは影響を受けたことが確認できるユーザーには直接通知を行なったとのこと。ただし同社は、対象ユーザー数については『影響を受けた可能性のあるすべてのアカウントを確認することはできず』として具体的な数字を明らかにしていないが、匿名(偽名)アカウントが国家などの標的になる可能性があるため、今回の情報公開に至ったとしている。なお、Restore PrivacyとBleeping Computerによれば、約540万人のユーザーに影響があると報じられている。

 また、Bleeping Computerの報道によると、流出したデータにはメールアドレスと電話番号に加え、フォロワー数、ユーザー名、ログイン名、プロフィール画像のURLなどTwitterの公開情報も含まれており、すでに3万米ドルで販売されているという。不幸中の幸いにして、パスワードは流出していない。しかし同メディアは、将来的に流出データが無料で一般公開される可能性が高いとしており、事態は深刻だ。

 今回の事態を受けてTwitterでは、匿名(偽名)アカウントを使う場合は電話番号やメールアドレスをアカウントに登録しないことを推奨。さらに不正ログインからアカウントを保護するために2要素認証を有効にするよう呼び掛けている。