Twitterの情報流出がニュースにあがってました。
「芸能人等はちょっと心配事になる」みたいなことが記事にありましたが、一般人では何か対応すべきことはありますか?
例えば、Twitterに登録してるパスワードやメールアドレスを変更した方がよいなど。
あと、Twitterアプリには常時ログインしっぱなしな状態ですが、これはいちいちログアウトした方がよいですか?
今回のTwitterアカウントの情報流出問題では、登録していたメールアドレスが流出しました。
Mozilla社の運営する「Firefox Monitor」というサイトで、自分のメールアドレスが流出しているか確認できます。
もし、自分のメールアドレスが流出してしまった場合、考えられるリスクは主に3つあります。
とはいえ、対策としては迷惑メールに気をつけるぐらいしかないかもしれません。
確かに不正アクセスが心配な場合は、念のためにTwitterに登録しているメールアドレスを変更するのも手です。しかし、それでセキュリティがそこまで強化されるわけでもないのですよね。
Twitterアプリのログアウトについては、必要ないと思います。
これは、スマホが盗難された・乗っ取られたときにしか意味がないからです。
1. 約半数の登録メールアドレスが流出した
まず、どんな情報流出があったのか、状況を整理してみます。
▶ 2022年1月にTwitterで情報漏れがあり、
▶ 2億3000万人以上の利用者の
▶ メールアドレス・ユーザー名
が流出していたことが確認されています。
その情報流出によるとみられるデータベースが、2023年1月4日に公になりました。
2億3000万人を超える利用者のメールアドレスやスクリーンネーム、氏名とみられる情報を含んだデータベースがウェブサイト「ブリーチフォーラムズ」に掲載された。ブルームバーグ・ニュースがこのデータを調べたところ、各アカウントのフォロワー数やアカウントの作成時期もこれに含まれていた。
ツイッター、2.3億人超える情報流出か-ハッカーフォーラム掲載(Bloomberg) – Yahoo!ニュース
ツイッターは昨年8月、ソフトの脆弱(ぜいじゃく)性を発見・報告することで企業から報奨金を受け取る「バグバウンティー」を通じ、同年1月に情報漏れが分かったと公表していた。
個人情報が盗まれたタイミングと、公になるタイミングはズレるんだね。
1-1. APIから取得できていたアカウント情報
本来、Twitterに登録したメールアドレスは非公開のはずです。
ところが、Twitterプログラムに不備(脆弱性)があって、第三者でも取得できてしまっていたようです。
プログラム上の不備なので、個人では対策しようがありません。
「非公開」というのは、「ログイン」した本人以外は閲覧できない情報のことです。
しかし、Twitterの連携プログラムから、ログインなしでも閲覧できてしまう不具合があったようです。
メールアドレス以外の情報は、基本的にはプロフィールの公開情報ですね。
2. 自分のメールアドレスが流出しているかチェックするには?(Firefox Monitor)
ちなみに、世界のTwitterユーザーは約4.3億人なので、2.3億人というのは約半数にあたります。
他人事ではないですね💦
自分のメールアドレスが流出したデータベースに含まれているかどうかは、MozillaのFirefox Monitorから確認できます。
・Firefox Monitor:Twitter (200M) のデータ侵害にさらされていますか?
Firefox Monitorは、Mozilla社(Mozilla Corporation)が運営する、データ流出の被害状況を検索するためのデータベースです。
調べたい場合は、自分のメールアドレスを入力して「調査する」をクリックします。
もし流出している場合は「This email appeared in ~ known data breaches(このメールアドレスは既知のデータ侵害の中に含まれています)」と表示されます。
2-1. Firefox Monitorの信頼性
自分のメールアドレスを入力するんだよね。
このフォーム自体は大丈夫なのかな。
それは私も思いましたが、運営元のMozillaはネット業界の老舗です。
比較的 信頼できると思います。
「Mozilla Foundation(モジラ財団)は、オープンソースのブラウザ・メールソフトなどの開発支援のために2003年に設立された非営利団体です。
「Mozilla Corporation」は、2005年に設立されたMozilla財団の完全子会社で、主にFirefox、Thunderbirdのリリース計画、マーケティングなどを担っています。
それでも、ユーザー名から検索できればもっと安心なのに。
ちなみに教室のTwitterアカウントを調査したところ、データ侵害に含まれていませんでした。
3. もし流出していたら注意すべきポイントは?
アカウント名とメールアドレスが公開されてしまった、というのがポイントです。
つまり、本来 非公開のはずのメールアドレスがしまったので、知らない人からメールが送られてくるリスクがあります。
著名人でも一般人でも、「知らない人にメールアドレスを知られる」というリスクは、基本的には同じです。ただ、著名人の場合には興味本位でメールを送ってくる人も多そうなので、とくにやっかいな問題でしょう。
今回流出したデータには、クレジットカード情報や社会保障番号、自宅の住所など機微な詳細は含まれておらず、現時点では悪意を持つ人物がそれを利用して損害を与えてはいないもようだ。しかし、ツイッターのユーザーネームとメールを照合できるなら著名人にとっては気掛かりかもしれない。
ツイッター、2.3億人超える情報流出か-ハッカーフォーラム掲載(Bloomberg) – Yahoo!ニュース
Twitterアカウントを事務所や会社のメールではなく、個人的なメールアドレスで登録している場合も少なくないでしょう。
不特定多数の人からメールが届くと、個人的な連絡や仕事にも影響があります。
3-1. 迷惑メールが増える
まず、気にすべきことは「迷惑メール」です。
「Twitterからの確認メール」や「プレゼント企画の当選メール」などと書かれた偽メールが届くかもしれません。このような偽メールのリンクから、偽のログインページに誘導され、パスワードを入力してしまうと、二次的な被害につながります。
3-2. 身バレのリスク
次に、気になるのが「身バレのリスク」です。
Twitterを匿名で利用している場合でも、登録しているメールアドレスから本人を特定することができてしまうかもしれません。
悪口や違法行為などの投稿で「炎上」すると、実生活にも影響が出てくる可能性があります。
もし、なにかのきっかけで、Twitterで誰かの恨みをかったり、好奇の対象になったりすると、メールアドレスが本人特定の手がかりになってしまうからです。
SNSの利用は慎重に。
基本的に、インターネットは匿名ではない、と考えた方がよいと思います。
繁華街の大通りと一緒で、そのときに名前は知られていなくても、なにか問題があれば調べられるものです。
3-3. 不正アクセスのリスク
最後が、「不正アクセスのリスク」です。
メールアドレスは、Twitterアカウントの「ログインID」だからです。
しかし、現実的にはそこまで心配はありません。
というのも、もともとTwitterのログインページの「ID」では、メールアドレスだけでなく(公開されている)ユーザー名も有効だからです。
Twitterのパスワードやメールアドレスのパスワードをきちんと管理していれば、基本的には問題ないと思います。
登録メールが盗み見られているようなことがなければ、直接 問題ないです。
4. 電話番号は流出している?
電話番号は大丈夫なの?
2023年1月に公になったデータベースには、電話番号は含まれていません。
しかし、2022年8月に見つかった脆弱性からは、これまでにもほかにも個人情報をまとめたデータベースが見つかっています。
参考:Twitterから流出したとみられる約2億件のデータについてまとめてみた – piyolog
このうち、2022年12月に販売されたデータベース(B)には、一部に電話番号も含まれていたようです。
ユーザー プロファイルには、ユーザーの電子メール アドレス、名前、ユーザー名、フォロワー数、作成日、電話番号など、公開および非公開の Twitter データが含まれています。漏洩したプロファイルにはすべて電子メール アドレスが関連付けられているように見えますが、多くは電話番号を持っていません。
ハッカーが 4 億ユーザーの Twitter データを販売していると主張(英文)2022 年 12 月 26 日
電話番号は、その後の公開のデータベース(B’)から削除されているようなので、Twitterアカウントに登録された「電話番号」が流出したわけではないように思えます。
店舗などはアカウントの説明文に電話番号を公開している場合もあるので。
4-1. Have I Been Pwnedで確認した
自分の電話番号が情報漏えいしているか確認するにはどうすればいい?
定番なのは「Have I Been Pwned(https://haveibeenpwned.com/)」という英語サイトです。
メールアドレスだけでなく、電話番号から情報流出を確認できます。
ただ、日本の電話番号は国際番号「+81」をつける必要があります。
一応、教室電話番号で確認してみましたが、「no pwnage found(漏洩は見つからず)」でした。
「Have I Been Pwned? 」とは、セキュリティ専門家のトロイ・ハントが2013年12月4日に開設した、インターネット利用者が自らの個人情報が漏洩していないかを照会できるウェブサイト
情報漏洩チェックサイトは、日本語サイトがあまりないです。
国際番号になるため、自分の電話番号が国内番号の形式だと、流出しているかどうかはわからないです。
念のための確認程度に考えてください。
こちらもどうぞ。