Twitter のゼロデイ脆弱性:540 万件のアカウント情報流出に悪用される

Twitter confirms zero-day used to expose data of 5.4 million accounts

2022/08/05 BleepingComputer — Twitter は、最近発生したデータ流出の原因が、現在は修正済みのゼロデイ脆弱性にあったこと、そして、メールアドレス/電話番号をユーザーのアカウントにリンクさせるために悪用されていたことを発表した。BleepingComputer が7月に行った、ある脅威アクターたちへのインタビューで、この脆弱性を悪用に成功した彼らは、 540万人のユーザーアカウントのリストを作成していたことが判明した。

この脆弱性の悪用に成功すると、メールアドレス/電話番号と Twitter アカウントとの紐付が確認され、それらと紐付くアカウント ID の取得が可能になる。そして、脅威アクターは、この ID を使用して、そのアカウントの公開情報を窃取していた。

Twitter data being sold on a hacker forum
ハッカーフォーラムで販売されていた Twitter のデータ
Source: BleepingComputer

この手口を用いた脅威アクターは、2021年12月に 540万人分の Twitter ユーザーのリストを作成し、認証済みの電話番号/メールアドレスや、フォロワー数/スクリーン・ネーム/ユーザー名/位置情報/プロフィール画像 URL などの、公開情報の窃取に成功している。作成された Twitter のプロフィールのうち、再編集された一例は以下から確認できる。

A redacted example of one of the generated Twitter profiles
生成された Twitter のプロフィールの一例を再編集したもの
Source: BleepingComputer

その当時に、脅威アクターたちは BleepingComputer に対して、窃取したデータは $30,000 で販売されており、関心のある買い手がいると述べていた。後に、2人の買い手が付き、当初の販売価格よりも低価格でデータを購入したことが判明している。BleepingComputer は、これらのデータについて、将来的に無料で公開される可能性が高いと見ている。

データ収集に使用されたゼロデイ脆弱性

今日、Twitter は、2021年12月に脅威アクターが悪用した脆弱性が、その翌月に HackerOne バグバウンティ・プログラムの一環として、同社に報告されたものと同じであり、すでに修正されていることを発表した。

今日の公開アドバイザリで Twitter は、「2022年1月に、私たちはバグバウンティ・プログラムを通じて、アカウントに紐付けられたメールアドレス/電話番号を特定できるという脆弱性について報告を受けた。ユーザーの Twitter アカウントを特定できる脆弱性は、2021年6月に行われた Twitter のコードの更新に起因する。私たちは、報告を受けてすぐに調査および修正を行ったが、その時点においては、この脆弱性の悪用を示す形跡は無かった」と述べている。

今日の情報公開の一環として Twitter は、データ流出により電話番号/メールアドレスが漏洩したかについて、影響を受けたユーザーに注意を促す通知を、今朝から送り始めていることを明らかにした。

現時点において Twitter は、情報漏えいの影響を受けた正確な人数を特定することはできないとしている。しかし、脅威アクターは、5,485,636 人分の Twitter ユーザーのデータを窃取したと主張している。

今回の侵入でパスワードは流出していないが、Twitter はセキュリティ対策として、不正なログインを防ぐために 2FA を有効化するよう、ユーザーに呼びかけている。

また、仮名の Twitter アカウントを使用しているユーザーに対しては、一般に知られている電話番号/メールアドレスを Twitter アカウントに使用しないなど、できるだけ匿名性を保つよう推奨している。

Twitter はアドバイザリで、「我々は、影響を受けるアカウントの全てを確認できるわけではない。特に、国家や他のアクターにより標的とされる可能性がある、偽名アカウントを持つ人々に知らせるために、このアップデートを公開した」と述べている。

すでに、2人の脅威アクターがデータを購入していることから、このデータを悪用して Twitter のログイン情報を盗む、標的型スピアフィッシング・キャンペーンに警戒する必要がある。

この記事は、7月22日の「Twitter のアカウント情報が大量に流出:548万人分が $30k で販売されている」の続報という位置づけのようです。その時点では、バグバウンティ・プログラムを運営している HackerOne と、驚異アクターの言い分に食い違いがあるなど、情報が錯綜している状態でしたが、その点は解消されたようです。Twitter アカウントをお持ちの方は、念のために確認したほうが良さそうですね。

%d bloggers like this: