こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
Twitterの脆弱性で漏洩した540万人分の個人情報が、ハッカーの手で一般公開されたことが分かりました。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】Twitterから非公開の個人情報が漏えいし、公開されてしまったということです。Twitterから個人情報が漏えいするに至った背景と、Twitterユーザが今後できる対策について説明します。
今回のインシデントは、Twitter IDやユーザー名といった公開情報に加え、本来は非公開の電話番号やメールアドレスが漏洩してしまったということです。原因として、2021年夏から2022年1月前後までの間に存在していたTwitterの脆弱性が挙げられています。
対策として、2022年8月にはTwitter社が漏洩の事実を認め、確認した一部のアカウントに対して直接連絡を行っています。Twitter社はこの脆弱性が存在していたこと、通報を受けて修正したこと、またオンラインに漏洩した情報の一部が本物だったことは認めたものの、実際にどの程度の規模で悪用されたのか、把握できているか否かも含めて回答していないということです。
過去に存在していたTwitterの脆弱性と、漏洩した個人情報が一般公開されるに至った背景について説明します。
今回の脆弱性は、Twitterのパスワードを忘れた際の手続きに不備があり、任意の電話番号やメールアドレスから、紐付けられたTwitter IDを取得できるという内容です。漏洩したデータに含まれるメールアドレスや電話番号は、Twitterアカウントの作成時や、セキュリティ強化のため二要素認証を導入する際に入力を要求されるものです。
つまり、電話番号やメールアドレスを知っていれば、Twitterアカウントを知ることが可能でした。よって、身元を明かさずに使っていた匿名アカウントを特定できたことになります。逆に、漏洩した個人情報を使えば、そのTwitterアカウントから、公開していない電話番号やメールアドレスを知ることも可能ということになります。
2022年7月の時点では、ハッカーが540万件の漏洩データを所持していると主張し、ごく一部のサンプルのみを掲示板で公開したうえで購入を呼びかけていました。今回は540万件の元データそのものが、誰でもアクセスできるハッキング掲示板に掲載され、ダウンロードが可能な状態になっています。
Twitterのユーザ側でできる対策として、今後の便乗詐欺に注意することが必要です。
残念ながら、すでに漏洩してしまった個人情報を、今から取り戻すことはできません。また、ユーザー名を変えてもTwitter IDは変わらないため、対策の一つとして、アカウントを削除して再作成するという方法が考えられますが、過去の情報を引き継ぐことができないため、あまり現実的とは言えません。
よって、漏洩した個人情報が悪用された際に、被害にあわないための対策が必要となります。具体的には、Twitter社を騙るメールやSMS、DMなどで、パスワード変更やアカウント凍結を装い、アカウント情報を入力させるようなフィッシング詐欺に注意することが必要です。今回、漏えいした個人情報には、Twitter IDやユーザ名、メールアドレス、電話番号が含まれており、パスワードは含まれていません。
ちなみに、実際にこの漏洩したデータに自分のアカウント情報が含まれていてもいなくても、このニュースに便乗したサイバー攻撃は起こりえますので、すべてのTwitterユーザが注意する必要があります。
今回は、Twitterから個人情報が漏えいするに至った背景と、Twitterユーザが今後できる対策についてお届けしました。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ