Twitterから漏えいした6億件の個人情報は「Twitterの脆弱性を悪用して取得されたものではない」とTwitterが主張
Twitterが、合計で6億件の個人情報が流出したとされる一連の報道について、「当該データがTwitterの脆弱(ぜいじゃく)性を突いて取得されたものであるとの証拠は見つからなかった」との調査結果を発表しました。この報告に対し、複数のメディア関係者から不明な点があるとの指摘がなされています。
Update about an alleged incident regarding Twitter user data being sold online
https://privacy.twitter.com/en/blog/2023/update-about-an-alleged-incident-regarding-twitter-user-data-being-sold-online
Twitter claims leaked data of 200M users not stolen from its systems
https://www.bleepingcomputer.com/news/security/twitter-claims-leaked-data-of-200m-users-not-stolen-from-its-systems/
Twitter says no evidence new user data leaks were obtained via system bug | Reuters
https://www.reuters.com/technology/twitter-says-no-evidence-that-data-being-sold-obtained-by-its-systems-2023-01-11/
この問題の発端は、2022年1月に発覚した「メールアドレスや電話番号をTwitterのシステムに入力すると、それにリンクされたTwitter IDを取得できる」という不具合です。このTwitterAPIの脆弱性は、バグ報奨金プログラムを通じてTwitterに報告された後に速やかに修正されましたが、脆弱性を突いて取得された540万人分のデータがダークウェブで取引されていることが8月の報道で明らかになりました。
Twitterから540万人分のアカウント情報が流出しハッカーが400万円で販売 - GIGAZINE
また、2022年11月にも540万件のデータがダークウェブに出回っていることが報じられたほか、12月には4億件のデータを盗み出したと主張するハッカーがTwitterのイーロン・マスクCEOを名指しで脅迫する事件が発生しました。さらに、2023年1月に入ってからは2億件超のTwitterアカウントのデータがたった2ドル(約260円)で投げ売りされていることが報じられています。
これまでに報じられたTwitterのデータ漏えい問題をまとめると、以下のようになります。
・2022年8月:540万件
・11月:540万件
・12月:4億件
・2023年1月:2億件
一連の問題に関する調査を進めていたTwitterは2023年1月11日に、プライバシーおよびデータ保護チームとインシデント対応チームによる包括的な調査の結果を報告しました。
Twitterによると、2022年8月に報告された540万件のユーザーデータは、確かにTwitterの脆弱性によるものだとのこと。また、同年11月に流出が報告された540万件のデータは、8月のものと同じデータだったことも確認されました。
しかし、残りの4億件のデータと2億件のデータについては、「このデータが当社のシステムの悪用に由来するものであるという証拠は見つかりませんでした」と述べて、Twitterの脆弱性を悪用することにより盗み出されたものではないとの見解を示しました。
We were recently made aware of reports that Twitter user data was being sold online. After a comprehensive investigation, we found no evidence that this data originated from the exploitation of our systems. Read more here: https://t.co/4LnVG6gzae
— Twitter Support (@TwitterSupport) January 11, 2023
なお、2023年1月に報告された2億件のデータは、先に流出した4億件のデータから重複を取り除いたもので、データの内容は同じだったとのこと。また、このデータからはパスワードやパスワード侵害につながる可能性のある情報は見つかりませんでした。
しかし、メディアからは疑念の声も上がっています。2022年8月の報道に先駆けて、7月にはTwitterのデータが盗み出されていることを発見しTwitterに通報していたIT系ニュースサイトのBleepingComputerは、「流出したTwitterユーザーのデータが、一体なぜアカウントに紐付けられた電子メールアドレスと正確にリンクしていたのか説明されていません」と指摘しました。
また、CNNのテクノロジーレポーターであるBrian Fung氏も、「Twitterが言わんとしていることに、少し混乱しています。『4億件と2億件のデータを以前流出した540万件のデータと比較したところ重複が見つからなかったので、APIの脆弱性に由来する証拠はない』ということでしょうか。もしそうなら、それは必ずしも決定的とは言えないのではありませんか?」と疑問を投げかけています。
I'm a little confused by what Twitter is trying to say here.
— Brian Fung | @[email protected] (@b_fung) January 11, 2023
Is it just "we compared the 400m/200m dataset with the previously leaked 5.4m dataset and found no overlap, thus there's 'no evidence'" that it came from the API bug? https://t.co/58ic57LiUY
・関連記事
Twitterから540万人分のアカウント情報が流出しハッカーが400万円で販売 - GIGAZINE
2億件を超えるTwitterアカウントのメールアドレスなどを含む個人情報がハッカーフォーラムでわずか2ドルで販売されている - GIGAZINE
Twitterユーザー540万人の個人情報が盗み取られてハッカーフォーラムでさらされる、「今後はTwitterを名乗るメールに気をつけて」との注意喚起 - GIGAZINE
ハッカー「Ryushi」が4億以上のTwitterアカウントの個人情報削除と引き換えに20万ドルを要求、自衛方法はコレ - GIGAZINE
Twitterの元従業員が賄賂を受け取りサウジ政府に個人情報を流したとして有罪判決を受ける - GIGAZINE
Twitterアプリに電話番号経由で個人情報が簡単に取得されてしまうバグが発見される - GIGAZINE
・関連コンテンツ
