ニュース
Twitter、「脆弱性が原因の証拠見つからず」2億件の情報漏えい報道に対する調査結果
2023年1月13日 17:32
米ツイッター(Twitter)は、Twitter利用者のデータがオンラインで販売されているという報道を受けて調査を行い、その結果を公表した。
調査によると、最近オンラインで販売されたデータが、Twitterの脆弱性を悪用して取得されたものであることを示す証拠は見つからなかったという。
Twitterには、Eメールアドレスや電話番号をTwitterのシステムに送信すると、それらの情報が関連付けられているTwitterアカウントがある場合に、そのTwitterアカウントを通知してしまう脆弱性があった。
この脆弱性は2022年1月に報奨金プログラムを通じて報告され、ただちに調査および修正の対応が行われた。直接の原因は、2021年6月に行ったコードの更新によるものという。本件は2022年8月にユーザーに告知されている。
2022年7月には、何者かがこの脆弱性によって得たデータを販売することを申し出ていることが報道された。Twitterがデータのサンプルを確認したところ、この問題に対処する前に悪意ある業者が取得したものであることが確認されたため、該当するユーザーに通知すると共に、関係各局へ連絡を行ったという。
2022年11月には、Twitterのユーザーデータが漏えいした疑いがあると報道されたため、新たに報道されたデータと、2022年7月21日にメディアが報じたデータを比較したところ、流出したデータは同一であると判断した。
2022年12月には、同年1月に発見された脆弱性を悪用し、何者かが4億件以上のTwitter利用者のメールアドレスや電話番号を取得したと主張したことが報じられた。また、2023年1月には同様に2億件のデータを販売しようとする物が現れたことが報じられている。
これらの疑惑に対して、Twitterでは調査によって以下の事実が判明したと明かした。
- 11月に報告された540万件のユーザーアカウントは、8月に公開されたものと同一である
- 12月に報道された4億件のユーザーデータは、以前報告された事故と新しい事故のいずれにも関連づけることができなかった
- 2023年1月に報道された2億件のユーザーデータは、以前に報告された事故にもTwitterの脆弱性悪用に由来するデータにも関連付けることができなかった
- 両データは同一であったが、2つ目のデータでは重複項目が削除されていた
- 分析したデータには、パスワードやパスワードの漏えいにつながる情報は含まれていなかった
これらの調査結果により、Twitterではオンラインで販売されているデータがTwitterの脆弱性を悪用して取得されたことを示す証拠は無く、既にオンラインで公開されているデータを複数のソースから集めたものである可能性が高いと結論づけている。
2段階認証でアカウント保護を推奨
Twitterは、今回の調査ではパスワードの漏えいは認められなかったが、Twitterアカウントを不正なログインから守るためには、認証アプリやハードウェアセキュリティキーを用いた2段階認証を活用することを推奨している。
また、緊急性を煽るメールや個人情報を要求するメールに注意し、それらを受信した際にはTwitterが正規に送信したものであるかを注意深く確認することを推奨している。