Twitterユーザー540万人の個人情報が盗み取られてハッカーフォーラムでさらされる、「今後はTwitterを名乗るメールに気をつけて」との注意喚起

ハッカーが利用するフォーラムで、Twitterから流出した540万人分の個人情報が繰り返し取引されていることが分かりました。IT系ニュースサイトのBleepingComputerの取材により、このデータはバグ報奨金プログラムにより報告され2022年1月に修正された脆弱(ぜいじゃく)性を悪用して盗み出されたものであることが確認されました。

5.4 million Twitter users' stolen data leaked online — more shared privately
https://www.bleepingcomputer.com/news/security/54-million-twitter-users-stolen-data-leaked-online-more-shared-privately/

Twitterのユーザーデータが大量にさらされている問題が最初に発覚したのは、ハッキングフォーラムで「540万人以上のTwitterユーザーの個人情報を3万ドル(約410万円)で売る」と持ちかける2022年7月の書き込みです。「devil」と名乗る脅威アクターが共有したデータの大半はTwitter ID・名前・ログイン名・所在地・認証済みステータスなどの公開情報で構成されていましたが、電話番号やメールアドレスなどのプライベートな情報も含まれていました。

BleepingComputerによると、このデータはバグ報奨金プラットフォームのHackerOneで報告された脆弱性を利用して2021年12月に収集されたものだとのこと。この脆弱性を悪用すると、攻撃者はTwitterアカウントに関する公開情報をスクレイピングすることで、公開情報とプライベートなデータの両方を含むユーザレコードを作成することができるようになっていました。

HackerOneでの情報公開がリークされたのかどうかは不明ですが、BleepingComputerは複数の攻撃者がこの不具合を利用してTwitterから個人情報を抜き取っているとの情報を得ています。

ハッキングフォーラムの管理者であるPompompurinはBleepingComputerに対し、「Devil」という前述の投稿者とは別の脅威アクターがこの脆弱性を広めた後、自分たちでその脆弱性を悪用して個人情報のデータベースを作ったことを認めました。

このデータベースには販売された540万件のユーザレコードの他に、別のAPIを使って収集された停止中のアカウントのプロフィールも140万件追加されており、合計で700万件のデータが蓄積されているとのこと。Pompompurinはこのデータベースを販売せず、数人の個人間で共有しただけだと説明しました。

2021年7月に540万件のユーザーデータが売りに出された後、ハッキングフォーラムでは9月と11月24日にも同じデータが無料で共有されました。Pompompurinは、このデータが以前売られたものと同じもので、具体的には548万5635人のTwitterユーザー記録が含まれていることを確認しました。

この問題の直接の発見者は、セキュリティ専門家のChad Loder氏です。同氏はTwitterでこの一件を最初に報告した直後に投稿を削除し、分散型SNSのMastodonで改めてデータ流出について報告しました。

Loder氏はTwitterへの投稿の中で「私はEUとアメリカの数百万のTwitterアカウントが影響を受ける大規模なTwitterのデータ侵害についての証拠を受け取りました。私が影響を受けたアカウントの一部に連絡を取ったところ、これが本物のデータだということが確認できました」と述べています。

BleepingComputerはその後の調査で、既存のものとは異なるユーザーデータのサンプルファイルを入手しており、その中にはフランスのユーザーの電話番号137万7132件が含まれていたとのこと。BleepingComputerは、この追加の漏えいデータも本物であることを確認しています。また、BleepingComputerが入手したTwitterユーザーの個人情報は、Pompompurinが管理する前述のハッキングフォーラムで共有されたものとも異なることから、Twitterの脆弱性を悪用してデータを盗み出すことがいかに広く行われているかがうかがえるとBleepingComputerは指摘しています。

Twitterユーザーに対して、BleepingComputerは「盗み出されたデータは、ログイン情報を入手するための標的型フィッシング攻撃に利用される可能性があるため、Twitterの運営を名乗るメールは全て精査する必要があります。特に、アカウントが停止されたとか、ログインに問題があったとか、認証済みステータスが失われようとしているなどと主張するメールを受け取り、Twitter以外のドメインにログインするよう促された場合はフィッシングの可能性が高いため、メールを無視して削除してください」と注意喚起しました。

BleepingComputerは2022年11月24日にTwitterにこの問題を通知していますが、記事作成時点のところ返答が得られていないとのことでした。