米ツイッターから個人情報流出 メアド・電話番号など最大540万件か 「二要素認証」の利用推奨

[ITmedia]

　「Twitter」の利用者の個人情報が流出したと、運営元の米ツイッター社が8月8日までに自社ブログで発表した。何者かが脆弱性を突き、システムを攻撃。アカウントにひも付けられたメールアドレスや電話番号などを取得し、販売された可能性があるという。同社は該当するユーザーに通知するとともに、不正使用を防ぐため「二要素認証」の利用を推奨している。

ツイッター本社（提供：ゲッティイメージズ）

　同社によると1月、バグの発見者に報奨金を支払う取り組みを通じて、システムに脆弱性があるとの情報提供があったという。確認したところ、ユーザーがメールアドレスや電話番号などをシステムに送付すると、それらを利用するアカウントを特定できることが分かった。これにより、匿名で運用しているアカウント（いわゆる裏アカウント）も特定できる状態だった。

　このバグは2021年6月にソースコードを更新した際に発生したといい、同社は直後に修正。社内調査した時点では脆弱性を突いたとみられる痕跡は見つからなかったという。

ハッカーのイメージ（提供：ゲッティイメージズ）

540万件の個人情報、3万ドルで販売　専門誌報道

　だが、その後、セキュリティ情報専門のニュースサイト「BLEEPING COMPUTER」が540万件の個人情報がハッカー同士の闇市場（いわゆるダークウェブ）で、3万ドルで販売されていると報道。これを受け、ツイッター側が調査した結果、流出を確認したという。同社の発表によると、修正プログラムの提供前に、その脆弱性を突く「ゼロデイ」攻撃とみられる。

　同社は「（情報流出が）起こってしまったことは大変残念」とコメントした上で、対策のため、通常のログインパスワードに別の認証を加えた「二要素認証」の利用を推奨している。

ツイッター社の声明文（出典：同社公式ブログ）

　Twitterは企業が自社事業のPRや、就活生向けの広報活動に利用しているケースが多い。就職マッチングイベントを行うDYM（東京都品川区）が21年5月に行った調査では、TwitterなどSNSを使った企業の好感度が高いことが分かった。

　また、マーケティングDXを支援するアライドアーキテクツ（東京都渋谷区）の調査では、全体の6割がTwitterの情報をきっかけに商品を購入していることも分かった。被害を防ぐため、利用する企業には対策が求められそうだ。

Twitterをきっかけに商品の購入経験があるのは6割