X (Twitter) ユーザー 28億人分の個人情報が流出か? 内部犯行の可能性​と沈黙する X

Twitter (X) Hit by 2.8 Billion Profile Data Leak in Alleged Insider Job

2025/03/29 HackRead — X (旧 Twitter) から流出した約 28億7000万件分ものユーザー・データ流出が、アンダーグラウンド・フォーラムの Breach Forums にて発見された。ThinkingOne と名乗るユーザーの投稿によると、X 社における大規模な人員削減の期間中に、不満を抱いた従業員が盗み出したデータに起因するという。もし、それが事実であれば、ソーシャル・メディア史上で最大規模のデータ流出インシデントとなる。しかし、驚くべきことに、X も一般ユーザーも、この件について、まだ認識していないようだ。

データ流出について判明していること

ThinkingOne の最初の投稿によると、約 400GBに及ぶデータは、X での大規模なレイオフ中に持ち出された可能性が高いという。ThinkingOne は、さまざまな方法で、X に対して連絡を試みたが、回答は得られなかったと述べている。

X やユーザーから、一切の反応がないことに不満を募らせた ThinkingOne は、自ら行動に踏み切り、先日に流出が確認されたデータを、2023年1月に発生した情報漏えいで流出したデータと統合した。

X (Twitter) Largest Data Breach Ever? 2.8 Billion User Info Exposed
Screenshot from Breach Forums shows what ThinkingOne has posted about the alleged leak (Credit: Waqas/Hackread.com)
2023 年のデータ流出について

今回のデータ漏洩の全体像を把握するには、2023年に発生した X のデータ流出を振り返る必要がある。この流出では、約2億900万人のユーザーが影響を受け、次のような情報が公開された:

  • メール・アドレス
  • 表示名とユーザー名 (ハンドルネーム)
  • フォロワー数とアカウント作成日

この、大量のメール・アドレス流出が発生したとき、X はインシデントを軽視していた。同社は、「誰でも入手可能な、一般公開されているデータである」とし、機密情報や個人情報は含まれていないと主張していた。しかし、セキュリティ専門家たちは、メール・アドレスと公開データの組み合わせにより、大規模なフィッシング攻撃や個人情報の窃取が可能になると警告していた。

2025年のデータ流出について

その一方で、今回のデータ流出だが、2023年のインシデントとはまったく性質が異なるものだ。流出したのはメール・アドレスではなく、膨大なプロフィール情報やメタデータであり、まさに “個人情報の宝庫” といえる内容になっている。具体的には、以下のような情報が含まれている:

  • アカウント作成日
  • ユーザー ID とスクリーン・ネーム
  • プロフィール説明と URL
  • 位置情報とタイムゾーン設定
  • 表示名 (現在および2021年)
  • フォロワー数 (2021年/2025年)
  • ツイート数と最後のツイートのタイムスタンプ
  • 友達数/リスト数/お気に入り数
  • 最後のツイートのソース (TweetDeck や X Web App など)
  • ステータスの設定 (認証済みあるいは非公開プロファイルなど)

これらのデータは、ユーザーのプロフィールや活動履歴の詳細を、時系列で可視化できるものであり、さらには、自己紹介文/過去および、現在のフォロワー数/ツイートの履歴に加えて、利用しているアプリまで把握できてしまう。ただし、最も機密性が高い情報である、メール・アドレスだけは含まれていない。

X (Twitter) Largest Data Breach Ever? 2.8 Billion User Info Exposed
Data analyzed by the Hackread.com research team (Credit: Waqas/Hackread.com)
流出データのマッシュアップ

Breach Forums において、データ漏洩の解析に定評のある ThinkingOne は、2025年と 2023年の漏洩データを、1つの CSV ファイル (34GB/圧縮時は約 9GB) に統合した。このデータには、両方の漏洩インシデントに該当するユーザーのみが取り込まれ、合計で約 2億100万件のエントリを構成している。

この複雑に統合されたデータにより、2025年の流出データにも、メール・アドレスが含まれていると誤解する人が多く現れた。しかし、実際には、統合データに含まれているメール・アドレスは、2023年に流出したものである。

このように、結合されたデータにメール・アドレスが取り込まれたことから、2025年の流出データにも、メール・アドレスが含まれているという、誤解されやすい状況となっている。

なぜ “28億件”はツジツマが合わないのか

2025年1月時点で、X のユーザー数は約 3億3,570万人であった。そうなると、”28億人分のユーザー・データの流出” とは、一体どういうことだろうか? このギャップが生じるひとつの可能性として、このデータ・セットには、過去のデータに加えて、集計済みの情報も含まれていると推測できる。

こうしたデータが含まれることで、レコードの総数が、実際以上に膨れ上がったとも考えられる。具体的に言うと、作成後に凍結されたボット・アカウント/履歴に残っている非アクティブなアカウント/削除されたアカウント/新しいデータと統合された古いデータなどが、データ増の原因として挙げられる。

さらに、データに含まれる一部のエントリは、実在するユーザーを表していない可能性もある。たとえば、API 用アカウントや、開発者ボット、ログインした状態で削除/凍結されたプロフィールなどである。あるいは、個々のユーザーに関連付けられていない、組織やブランドのアカウントといった、ユーザー以外のエンティティが含まれている可能性もある。

その他には、この漏洩データが X からダイレクトに取得されたものではなく、複数の公開ソースからスクレイピングされた情報で構成されている可能性もある。つまり、過去に流出したデータのアーカイブや、X に連携されたサードパーティ・サービスから得られた情報などが、混ざっている可能性があるのかもしれない。

データを公開した ThinkingOne とは?

そもそも ThinkingOne は、どのようにして 2025年の流出データを入手したのだろうか。それが、最大の謎である。彼らは一般的なハッカーと違い、自らシステムを侵害するという前科を持たない。その一方で、流出したデータ・セットの分析と解釈には定評がある。彼らは他者から、このデータを提供されたのだろうか? さらに言えば、高度なデータ収集/統合を自ら行った理由は、どこにあるのだろうか? それらが、現時点では不明である。

ThinkingOne の、「不満を抱えた従業員が、レイオフ期間中にデータを流出させた」という持論は、あくまで仮説にすぎず、それを裏付ける具体的な証拠も存在しない。しかし、データが流出した時期と X の内部混乱を考慮すると、可能性としては十分にあり得る話である。

X はなぜ沈黙を貫いているのか

ThinkingOne の主張が事実であれば、今回のデータ流出は、単に大規模というだけではなく、ユーザーのプライバシーに対して大きな打撃を与えるものとなる。さらに、が内部関係者による犯行という論点とは別のところで、数多くのユーザーが答えのない疑問を抱えたままの状況に置かれている。自分のデータが、どれだけ盗まれたのか? 流出の背後にいるのは誰なのか? ThinkingOne が何度も連絡を試みたにもかかわらず、なぜ X は一切声明を出さないのか? これらの疑問が、いまだ解消されていないことが、さらなる不安と不信感を招いている。

文中にもあるように、X のユーザー数は 2025年1月時点で約 3億3,570万人とのことなので、28億人分のデータ流出とは、たしかに変な話です。Wikipedia で Twitter を調べたところ、Jack Dorsey たちが立ち上げたのは、2006年3月だと記されていました。かれこれ、20年におよぶ歴史があり、その感に出入りしたユーザー数などを考えると、それほど突飛な数ではないとも思えてきます。また、X サイドの沈黙ですが、2024年1月11日の Forbes に、「マスク買収後の X は 8割 の安全部門の技術者を解雇 – 豪当局発表」という記事がありました。具体的には、トラスト&セーフティ部門のエンジニアの80%が解雇されたようです。なんというか、なにかを表明できる人が残っていないとい状況が、目に浮かんでしまいます。なお、ThinkingOne についてですが、個人のデータ愛好家らしく、この記事のソースにたどり着くことはできませんでした。Forbes が取材しているようにも感じます。よろしければ、Twitter で検索も、ご利用ください。