Twitterの脆弱性対応はザルだった？ 実は漏れていた個人情報の行方

Twitterは、第三者がアカウント情報から身元情報を確認できる脆弱性を抱えていた。当初は「悪用された形跡はない」としていたが、実は裏で情報を悪用していた人物がいた。

[David Jones，Cybersecurity Dive]

　Twitterは、電話番号やメールアドレスを入力するだけで外部の攻撃者が特定のアカウントの身元を確認できるセキュリティ脆弱（ぜいじゃく）性の影響を受けたと発表した。

実は漏えいしていたTwitterアカウント、漏れた情報の行方

　Twitterはバグバウンティプログラム（脆弱性報奨金制度）を通じてこの脆弱性の存在を確認した。このバグは2021年6月のコード更新に関連するものだと同社は説明する。Twitterはこの問題を直ちに修正した上で、「誰かがこの脆弱性を悪用した形跡はなかった」と述べた。

　しかし、Restore Privacyは、攻撃者がこの脆弱性を悪用して情報を売却しようとした可能性があると報告した。それを受けてTwitterはこの件を調査し、データのサンプルを確認した結果、その事実を認めた。

　この脆弱性は、もともとHackerOneのユーザーであるジリノフスキー（Zhirinovskiy）氏によって公開され、TwittterのAndroidクライアントのユーザーに直接影響を与えるとされていた。Restore Privacyは、悪名高いサイバー犯罪フォーラム「Breached Forums」で、この情報を販売しようとする人物を発見した。

　「RestorePrivacy.com」の編集者であるスヴェン・テイラー氏は、「販売者が提供するデータサンプルをダウンロードして分析したところ、最終的にそれが正当なもので、Twitterユーザーと一致すると結論付けた」と電子メールで伝えた。

　メッセージングアプリ「Telegram」で販売者と連絡を取り、この情報は3万ドルで売られていたことが判明した。RestorePrivacy.comは、販売されたデータについてTwitterに警告を発した。

　Twitterは影響を受けたアカウント所有者に直接通知する予定だが、影響を受けた可能性のある全てのアカウントを確認することは難しいという。Twitterは、偽名で活動し、国家や他の脅威アクターに狙われる可能性のあるユーザーには特に配慮していると語る。Twitterはユーザーに謝罪し、攻撃者に知られた電子メールや電話番号をアカウントで使用することを止めるよう提案した。

　Twitterは、全てのユーザーに対して認証アプリまたはハードウェアセキュリティキーを使用した二要要素認証を採用するよう促した。また、データの安全性について質問があるユーザーには、同社のOffice of Data Protection（データ保護室）に連絡するよう伝えた。

　近ごろTwitterは、注目度の高いセキュリティインシデントに何度か遭遇した。2021年10月、17歳の若者が有名人やプロスポーツ選手を含む複数の著名ユーザーのアカウントにアクセスすることに成功した。Twitterは、今後のスピアフィッシング攻撃を防ぐために従業員にセキュリティキーを配備した。

　億万長者のイーロン・マスク氏が440億ドルで買収を試みたことを巡り、Twitterは今、法的紛争に巻き込まれている。マスク氏は、Twitterが正規アカウントとして表示されるbotの数を完全に開示しているかどうかについて矛盾があるとして、買収を撤回しようとしている。

出典：Twitter vulnerability risk resurfaces, testing the security of pseudonymous users（Cybersecurity Dive）