ツイッターから4億人超のユーザーデータ流出か

マスク氏に身代金要求

サイバーセキュリティ企業Hudson Rockは24日、何者かがブラックマーケットでTwitterユーザー4億人分の個人情報を販売していると報告した。ハッカーとみられる人物は、イーロン・マスク氏などに身代金交渉を持ちかけている。

BREAKING: Hudson Rock discovered a credible threat actor is selling 400,000,000 Twitter users data.

The private database contains devastating amounts of information including emails and phone numbers of high profile users such as AOC, Kevin O'Leary, Vitalik Buterin & more (1/2). pic.twitter.com/wQU5LLQeE1

— Hudson Rock (@RockHudsonRock) December 24, 2022

Hudson Rockは、イーサリアム（ETH）創設者ヴィタリック・ブテリン氏や、米下院議員のアレクサンドリア・オカシオ＝コルテス氏、投資家ケビン・オレアリー氏など著名人の情報も含まれていると指摘している。

流出したデータベースには、メールアドレスや電話番号、その他の「膨大な量」の情報が含まれているとも続けた。

Hudson Rockの共同設立者アロン・ギャル氏は、「ハッカーは、電子メールなどを入力してプロフィールを閲覧できるAPIの脆弱性を介して、情報にアクセスした」と推測している。

Hudson Rockが独自の検証を行った結果、データ自体は正当なものと考えられるという。ただ、現段階では、流出データベースに本当に4億人分の情報が存在しているのかを確認することはできていないと指摘した。

また、現在ツイッターの月間アクティブユーザーは約4.5億人であることから、情報流出規模の信憑性に疑いを投げかける見方もある。

データベースを有していると称する匿名の者は、ブラックマーケットで情報販売について投稿。「脆弱性によって盗みとることが出来た、ツイッターユーザー4億人超のデータを販売する。このデータには、著名人、政治家、企業、一般ユーザーらの個人情報が含まれる」と主張した。

さらに、ツイッター社やイーロン・マスク氏に対して、フェイスブックのように一般データ保護規則（GDPR）違反で罰金を科されたくないのであれば、身代金を支払うことが最善だと脅迫している。

マスク氏が身代金を支払えば、データを削除し、他の誰にも売却しないようにすると続ける形だ。

背景として、アイルランドの情報保護当局は11月、フェイスブックを運営するメタ社が、不適切に個人情報を管理していたことで、5億人のユーザーデータが流出したとして、約380億円の制裁金を科している。

執筆時時点では、マスク氏から公式の反応は確認されていない。

DeFiYieldもデータ検証

DeFi投資プラットフォームDeFiYieldは26日、ハッカーとコンタクトを取ったと報告している。

2/ Yes, this is real.

We have checked each of 1,000 accounts given by the hacker as the SAMPLE.

We were able to verify the big % of these accounts' data is real: both emails and phone numbers. pic.twitter.com/Q3IsU2GhWh

— DeFiYield 🛡️ Web 3 Security (@DefiyieldSec) December 25, 2022

ハッカーからサンプルとして提供された1,000アカウントの情報をチェックしたところ、メールアドレスや電話番号など、流出情報の多くが本物だったと述べた。

DeFiYieldは、ツイッターユーザーにセキュリティ対策を強化するよう推奨している。

具体的には「二要素認証をオンにする」「パスワードマネージャーを使わない」「すべてのデビットカードやクレジットカードに出金制限を設定する」「ウェブ上でカードを使用する機会をなくす」「（仮想通貨について）ハードウォレットに切り替える」などの項目を挙げた。