2023年の1月6日未明、Bloombergの報道「 ツイッター、2.3億人超える情報流出か53が流れてきたので、これを題材にこのリスク面をちょっと考えてみたいと思います。

もくじ

  • 事件概要
  • 悪用の可能性・リスク
    • リスク1:メアドおよび電話番号を使って表アカウントとサブ垢、裏垢が名寄せされる
    • リスク2:この情報を使ってフィッシングされる
    • リスク3:プロファイリングに使われる
    • リスク4:スパムに悩まされる/DDoS攻撃
  • 識別子問題

事件概要

Bloomberg英語版の2023年1月6日 5:17 JSTの報道によると、twitterから漏洩したとみられる2.3億人を超えるユーザの情報が、掲示板「BreachForum」に掲載されたとのことです。入っている情報は、Eメールアドレス、ツイッター・ハンドル(@ から始まる名前。わたしの場合は @_nat )、フルネーム(←なんのことやら)とのことですが、このエントリーを書いていてふと思い立ってpiyologさんを見に行ったら「Twitterから流出したとみられる約2億件のデータについてまとめてみた」54にずっと詳しくまとめてありました。それによると

  • ユーザー名称
  • ユーザー名
  • フォロワー数
  • アカウント作成日
  • メールアドレス

が入っているようです。piyokangoさん、さすが。逆に、Bloomberg、ちゃんと書け。

このデータは新たに抜かれたものではなくて、2021年6月から2022年1月まで存在していたTwitter APIの「脆弱性」を使って抜かれたのだろうとのこと。この脆弱性自体は2022年1月にtwitter社に報告され、即時に修正されたもので、twitter社の2022年8月5日付けの報告55によると、「もしだれかがEメールアドレスないしは電話番号をTwitterのシステムに送ると、Twitterのシステムはその人に、それらが紐付けられたtwitterアカウントがある場合それを返す56」というものだったようです57

このAPI脆弱性が実際に悪用されたのはすでに2022年7月にわかっていました。上記で抜けるのはツイッター・ハンドルだけのように報告書からは読めますが、ツイッター・ハンドルがわかれば、ハンドルに結び付けられたTwitterプロフィールの「名前」もわかりますから、BreachForumに掲載されたのはそれまでに抜かれたデータに、公開情報としてある「名前」を結びつけたものかもしれません。そもそも2022年12月23日にはこれに加えて電話番号もある約4億件のデータが「20万ドルで独占販売又は6万ドルで複数販売」58されていたようですから、ここから重複をとったりしてクレンジングしたデータかも知れません。より詳しい内容は piyolog 記事59を御覧ください。

悪用の可能性/リスク

まず最初にいっておきますが、パスワードは漏れていないのでこれ直接の不正ログインのリスクはありません。ただし、これを機にログインを見直し、FIDO認証器やワンタイムパスワード(OTP)のを設定するのは有用ですからぜひやってください。実際にこれは上記8/5付Twitter社報告でも推奨しています。(逆に、Bloombergさん、「ログイン中に「アカウント」タブでパスワードを変更すべきだ」と高度認証の前にこれを持ってくるのは何?そういうとこだぞ。)

ではリスクに入ります。まず、2022年8月発表の脆弱性の悪用リスクから考えます。

リスク1:メアドおよび電話番号を使って表アカウントとサブ垢60、裏垢61が名寄せされる

リスク内容:メールアドレスあるいは電話番号をキーにサブ垢、裏垢を結び付けられるのは、一部個人にとっては最大のリスクでしょうね。これによって、サブ垢の過去のツイートを辿ってあれやこれや言われたり場合によっては脅迫されるとかも出てくるでしょう。元の脆弱性の報告でもこうした名寄せを最大のリスクとして挙げていました。

対策:うーん。起きてしまった分にはなかなか難しいです。サブ垢・裏垢削除は、まだ魚拓など取られていない前提であればある程度効果が見込めます。ただ、逆にツイ消しやアカ消ししていることをなじられる可能性もあります。やましいことがあるんだろうと。

今後に関しては、サブ垢・裏垢を作る場合には、メアドも携帯電話番号も別のものを使いましょう。なお、このブログエントリーを書こうと思ったのは、この辺の深堀(後述)が目的ですので、ぜひそちらも御覧ください。

リスク2:この情報を使ってフィッシングされる

リスク内容: たとえそれが公開されていたり漏れていたりする情報であったとしても、本人にとって正しく見える情報を提示されて危機感を煽られると、つい詐欺に騙されてしまいがちになります。「あなたの2015年1月5日開設のツイッターアカウント「@_nat62(メールアドレス: nat@example.com)のパスワードが漏洩しました。次のサイトに行って至急パスワードをリセットしてください」みたいに登録してある携帯電話番号 080-0987-654363 にSMSでメッセージがきたりしたら、ついやっちゃいますよね?

対策:ブルンバーグが勧めるようなパスワードの変更は意味がありません。Twitterが勧めるような2要素認証は、「セキュリティ・キー」を選択すればほぼ確実な効果が見込まれます。テキストメッセージや認証アプリを使ったOTPはフィッシングには脆弱ですのでこのリスクの対策にはなりません。(過去に漏洩したパスワードによる攻撃などには効果がありますが)

リスク3:プロファイリングに使われる

リスク内容: 漏れた情報およびそこから引っ張ってこれる情報と、自社でもともと持っていた情報をメアド or 電話番号で紐づけて、ターゲティング用のプロファイリングに利用される。

対策:現実的な、つまり費用対効果が見込める対策はあんまり無いです。なにか思いついたらコメントに書いてください。

リスク4:スパムに悩まされる/DDoS攻撃

リスク内容:一般人の場合、漏れたメアドや電話番号にスパムが来て、作業や自由時間に割り込みが入ったり、見落としてはいけないメッセージを見落としたりする、というような感じでしょうか。有名人の場合、DDoSアタックになりえますね。

対策:せっかく重要な相手にしか開示していないメアド・番号で見落としが無かった、という方には残念なおしらせになりますね。現在開示している相手をホワイトリストに入れて、あとは叩き落とすとか、番号を変えるとかしないとならないかも知れません。特に電話の場合は、局側での対応が可能でないと、その電話番号は使い物にならなくなる可能性があります。

その他まだまだ精査すればあるでしょうが、とりあえずこんなところで。思いついたものがあったら、コメントに書いていただければ幸いです。

識別子問題

このブログを書き出したときには「ツイッター、2.3億人超える情報流出事件を題材に識別子問題を考えてみる」というタイトルで、識別子問題を深掘しようと思っていたのですが、だいぶ長くなったしもう朝の3時近くて疲れたので、今回はここまでにします。書こうかなと思っていたのは、

  • 識別子とクレデンシャルの混同問題:当初の「脆弱性」って、実はこの辺からくる仕様上のバグだったんじゃないのという感想を持ったので、ここを書こうと思ったのがそもそものこのエントリ執筆のきっかけです。そこまで行く前に力尽きたけど。「そんなバカな」と思うでしょうけど、この混同ってわりとあるんですよ。特に、パスワードリセットにこれらを使っているような場合。まぁ、twitterの場合はそうじゃなかったと信じたいところですが。
  • アカウント間名寄せ問題:リスクの項で触れたはなしが主になります。これに加えて、次の話もあります。
    • 仮名アカウントのときのバックアップ認証手段の話
    • 再利用可能識別子を使った場合のバックアップ認証手段の混同問題
  • Twitterによるメアド・電話番号の目的外利用問題:バックアップ認証手段として取得していたこれらを、ターゲティングに使っていたという話。

識別子については、昨年暮れに新設した日本語Youtubeチャンネルで解説を始めています(まだ2023年1月7日段階で第1回しかアップロードしてません)。

この第1回では、「識別子の分類とリスク:識別子徹底攻略①」64と題して識別子の分類とリスクについてお話しています(下に掲載しておきました)。これを見ていただくとわかりますが、メールアドレスも電話番号も基本的に再利用可能識別子になります。また、無指向性識別子でもありますし、多くの場合継続的識別子でもあるでしょう。3年毎にメアドと携帯電話番号を変えるって人、ほぼいませんよね。こういったことを勘案しながら、この事件から得られる教訓を書こうと思っていたのです。が、それはまた別の機会にということで。

それではまた!