Security

Twitterから「2億人超のメールアドレス」が流出、ユーザーの匿名性が危機に晒されている

Twitterユーザーの2億人超に相当するメールアドレスなどが流出した可能性が、このほど明らかになった。匿名で利用するユーザーも多いTwitterにおいて、多くのユーザーのプライバシーが危機に晒されたことになる。
illustration of Twitter logo with textures and bubbles
Rosie Struve; Getty Images

Twitterユーザー4億人から盗んだデータをハッカーが販売しているという報道が、2022年末にあった。研究者によると、広く出回っている約2億人のユーザーに結びつくメールアドレスという“宝の山”は、より大きな宝の山から重複を取り除いた精製バージョンである可能性が高いという。

この大規模な情報流出に対して、ツイッターはいまだにコメントを発表していない。ところがキャッシュされたデータからは、漏洩の深刻さとともに、漏洩によって最も危険に晒される可能性があるのが誰であるかが明らかになったのだ。

Twitterのアプリケーション・プログラミング・インターフェース(API)には、21年6月から22年1月にかけてバグがあった。これにより、メールアドレスなどの連絡先情報を送信すると、ひも付けられているTwitterアカウントが存在している場合にアカウント情報を取得できたのである。

パッチが適用されるまでの間に、この欠陥を悪用してTwitterからデータをスクレイピング(データの自動抽出)する者がいた。このバグを悪用したハッカーは、パスワードやその他の重要な情報(DMなど)にはアクセスできなかったが、多くの場合に匿名であるTwitterアカウントと、メールアドレスや電話番号とをひも付ける情報が漏洩の危険に晒された。これによりユーザーが特定される可能性があったのだ。

この脆弱性が存在していた間に複数のハッカーらがこれを悪用し、さまざまなデータセットを構築したようだ。22年夏以降に犯罪者フォーラムで流通していたデータセットには、約540万人のTwitterユーザーのメールアドレスと電話番号が含まれていた。

「10年先」を見通す洞察力を手に入れる!『WIRED』日本版のメンバーシップ会員 募集中!

今回新たに表面化したデータには、メールアドレスのみが含まれているようだ。それでもデータが広く流通することで、フィッシング攻撃やなりすましなど、個人を標的にする攻撃を激化させるリスクがある。

この件についてツイッターにコメントを求めたが、返答は得られていない。同社は8月にインシデントを開示した際に、APIの脆弱性について次のように説明している。

「この事案を把握した際、ただちに調査を実施し修正を施した。その時点では、誰かがこの脆弱性を悪用したことを示唆する証拠は認められなかった」。どうやらツイッターの監視技術の実力では、悪質なスクレイピングを検知できなかったようだ。

プライバシー侵害への懸念

APIの欠陥を通じてデータが大規模なスクレイピングの危険に晒されたプラットフォームとして、Twitterは決して初めてではない。それに、脆弱性を突いた悪質な攻撃(エクスプロイト)の結果、データの山が実際にどれだけ存在するのかについて混乱が生じることはよくある。

それでもこうしたインシデントは、犯罪エコシステムの既存の膨大なユーザー関連の盗難データにおいて、さらなる関連づけと検証を可能にする。その点で重要な意味がある。

「このAPIの脆弱性を把握していた人が複数名おり、スクレイピングを実行した人物も複数いたことは明らかです。それぞれの情報の山は別々の人物がスクレイピングしたのか。宝の山はいくつあるのか──。そんなことは重要ではありません」と、情報漏洩追跡サイト「HaveIBeenPwned」の創設者であるトロイ・ハントは言う。

「10年先」を見通す洞察力を手に入れる!『WIRED』日本版のメンバーシップ会員 募集中!

ハントによると、流出したTwitterのデータセットをHaveIBeenPwnedに投入したところ、2億個以上のアカウント情報に相当した。それらのメールアドレスのうち98%は、HaveIBeenPwnedが記録した過去の侵害インシデントですでに漏洩していたものだった。ハントは同サービスの440万人のメールアドレス登録者のうち、ほぼ106万4,000人に通知メールを送信したという。

Most Popular

「7桁の数のメールを送信したことは初めてのことです」と、ハントは言う。「登録者全体のほぼ4分の1に上るとは実に多いです。しかし、これだけ多くのものがすでに出回っているので、影響が長引くインシデントにはならないと思います。ただし、人々の匿名性が確保されなくなる可能性があります。わたしがより心配するのは、プライバシーを維持したい人たちのことです」

なお、ツイッターは22年8月の段階で、APIの脆弱性によってユーザーの匿名や偽名のアカウントが本人に結びつけられる可能性があるという懸念を共有していると説明している。

「Twitterで匿名アカウントを運用している場合、このようなインシデントがもたらすリスクをわたしたちは理解しており、実際に今回の事案が発生してしまったことを深くお詫び申し上げます。ご自身の身元をできるだけ秘匿し続けるために、一般に知られている電話番号やメールアドレスをTwitterアカウントに追加しないことを推奨します」

しかし、データをスクレイピングされた時点でTwitterアカウントと使い捨てメールアドレスをひも付けていなかったユーザーには、このアドバイスは遅すぎたようだ。22年8月にツイッターは、影響を被る可能性のある人に状況について通知していると表明している。同社は数億件の記録が漏洩した事態を前にして、さらなる通知をするどうか、いまだ明らかにしていない。

アイルランドのデータ保護委員会は22年12月、540万人のユーザーのメールアドレスと電話番号の漏洩を生み出したインシデントを調査していると発表した。ツイッターは現在、ユーザーのプライバシーとデータの保護対策の改善を義務づけられた「同意判決」に違反したかどうかに関して、米連邦取引委員会の調査も受けている。

WIRED US/Edit by Daisuke Takimoto)

※『WIRED』によるツイッターの関連記事はこちら

Related Articles
Twitter logo on the outside of a building with a harsh shadow
Twitter APIの法人向け利用料が「月額500万円超から」になり、“誰も使えない代物”になるという決定的な証拠
Twitterが2023年2月に発表した「Twitter API」の有償化について、新たな料金プランを『WIRED』が独自に入手した。最も低価格なプランでも月額42,000ドル(約560万円)と高額になる見通しで、研究目的での利用が不可能になると反発の声も挙がっている。
Twitter logo on the exterior of a building
Twitterで「2要素認証」を無料で使い続けて、アカウントを安全に保つ2つの方法
Twitter上でのSMSによる2要素認証が有料サービス「Twitter Blue」のユーザー限定になり、無料ユーザーは利用できなくなる。そこで無料で利用できる代替手段に切り替えることで、アカウントの安全性を保つ方法を紹介しよう。
White surface cracking from the center into many pieces
ツイッター内部の混乱でセキュリティリスクが急上昇、大規模な情報漏洩が発生したら何が起きるのか?
イーロン・マスクがツイッターを買収してからの数週間、同社では混乱が続いている。社員の大量解雇に伴いセキュリティチームが縮小され、Twitterを狙ったサイバー攻撃や情報漏洩が懸念されている。

次の10年を見通す洞察力を手に入れる!
『WIRED』日本版のメンバーシップ会員 募集中!

次の10年を見通すためのインサイト(洞察)が詰まった選りすぐりのロングリード(長編記事)を、週替わりのテーマに合わせてお届けする会員サービス「WIRED SZ メンバーシップ」。毎週開催のイベントに無料で参加可能な刺激に満ちたサービスは、無料トライアルを実施中!詳細はこちら