Twitterからという2億件以上の漏洩データがネットで公開、専門家が注意喚起

Twitterユーザーの個人情報だという2億件以上のデータが何者かによってオンラインフォーラムで公開された。過去のTwitterのセキュリティ問題から、「Have I been Pwned」など漏洩情報をまとめているサービスはTwitterからの漏洩データである可能性が高いと判断して投稿されたデータをシステムに追加。影響を受ける人々に注意を喚起している。

公開されたデータは、Eメールアドレスのほか、Twitterのユーザー名、ユーザーの本名（登録している場合）、フォロワー数、アカウント作成日などを含み、パスワードは含まれていない。

Twitterは2022年8月に、第三者がユーザーの情報を取得できるTwitter APIの脆弱性が2021年6月から数カ月にわたって存在していたことを公表した。その脆弱性を使用して取得したというデータがハッキングフォーラムに投稿されており、同社はそれらが脆弱性を修正する前に収集された情報の悪用であることを認めた。

その時点で漏洩データは500万件以上の規模だったが、昨年12月後半に漏洩データとみられる約4億件ものデータの取り引きが確認されていた。今回公開された2億件以上のデータは重複を修正し、2021年までさかのぼってTwitterから漏洩したといわれるデータをまとめたものとセキュリティ研究者やBleepingComputerなどのメディアは指摘している。

Have I Been Pwnedを運営するセキュリティ専門家のトロイ・ハント氏は、データから2億1152万4284個のユニークなEメールアドレスが見つかったと報告、データの内容について「ほぼ説明通りである」としている。漏洩データにパスワードは含まれないのでアカウントを簡単に乗っ取られる可能性は低いものの、フィッシング、Doxing（個人情報をWeb上で公開する個人攻撃）や匿名アカウントの特定などに悪用される可能性が指摘されている。サイバーセキュリティを監視するHudson Rockのアロン・ガル氏は「私がこれまで見てきた中で最も深刻な情報流出の1つ」としている。

公開されたデータに自分のメールアドレスが含まれているかは、「Have I been pwned」にメールアドレスを入力して確認できる。「Have I been pwned」とのパートナーシップでWebサイトの侵害に関するアラートをFirefox Monitorで提供しているMozillaは、Twitterからのメールアドレスの漏洩であると認めて1月5日にユーザーに通知した。
（Yoichi Yamashita）