2億件のXアカウントが大規模なデータ漏洩で流出 — 28億件のTwitter IDが公開されました

イーロン・マスクのX（以前はTwitterとして知られていた）は、これまでの中で最も深刻なサイバーセキュリティ危機の一つに直面しています。自己紹介を行ったデータ愛好家が、信じられているところによれば、2.8億のユニークなTwitterユーザーIDに関連付けられた2億件以上のユーザーレコードを含むコレクションを公開しました。これは、ソーシャルメディアの歴史における最大の漏洩の一つであるかもしれません。

この事件は、2022年初頭にTwitterのバグバウンティプログラムを通じて最初に報告された脆弱性に遡ります。この欠陥により、不正な行為者はシステムに電子メールアドレスや電話番号を入力するだけで、プライベートなユーザーデータを取得できるようになっていました。この問題が修正される前に、攻撃者はすでにこれらのデータを収集し、オンラインで販売を始めていました。

Twitterは2022年7月にこの侵害を認め、以下のように述べました：

「販売されているデータのサンプルを確認したところ、不正な行為者が問題が対処される前に悪用していたことが確認されました。」

現在、2025年に、同じデータセットが新しい情報で強化され、拡張された形で再登場し、ThinkingOneというハンドルネームのユーザーによって完全に公開されたと報じられています。

著名な漏洩フォーラムでの投稿によれば、ThinkingOneは34GBのCSVファイルを公開し、その中には201,186,753件のレコードが含まれており、各レコードには公開データとプライベートデータの組み合わせがあります。これには、XのスクリーンネームやユーザーID、フルネームやプロフィールの詳細、位置情報、電子メールアドレス、フォロワー数などが含まれています。

サイバーセキュリティグループSafety Detectivesは、このデータの多くが本物であるように見えることを確認しました。彼らの分析では、知られているユーザー情報と比較した際に一貫したフォーマットと一致するレコードが見つかりました。

Forbesのサイバーセキュリティ寄稿者デイビー・ウィンダーとのメール交換の中で、漏洩者は自らをハッカーとは定義せず、むしろ法的な範囲内で活動する「データ愛好家」であると明らかにしました。

「私は自分をハッカーとは見なしていません」とThinkingOneは言いました。「私はただ、すでに公開されているもの—編纂され、整理されたもの—を共有しているだけです。私の目標は害を及ぼすことではなく、認識を促すことです。」

彼らはまた、衝撃的な事実を示しました：

「本当の話は、28億のTwitter IDが外部に流出したということです。それはアクティブなユーザーの数をはるかに超えています。内部アクセスがなければ、誰がすべてのTwitter IDを列挙できたのでしょうか？」

これは、元の侵害が最初に報告された以上に大きかったのか、または複数のデータ漏洩が結合されたのかという深刻な疑問を提起します。

ThinkingOneによると、データセットを公開する前にXに警告するためのいくつかの試みが行われたが、反応はなかったと主張しています。この記事執筆時点では、Xは漏洩や影響を受けたユーザーに関する公式声明を発表していません。

過去のセキュリティ事件では、マスクの指導の下で、通常Xの投稿や簡単なプレスコメントを通じてダメージコントロールに努めてきました。しかし、今回に関してはそのような公の声明は出されていません。

このデータ漏洩は、プラットフォームにとっての一連のセキュリティに関連する問題に続いています：

これらの事件は、プラットフォームの技術チームが大規模な脅威に対処するためのリソースや構造が適切であるかどうかについて懸念を引き起こしています。

Xは漏洩を確認していませんが、ユーザーにはすぐに次のような予防策を講じることが推奨されています：

漏洩の性質から、影響を受けたユーザーはスパム、なりすまし、またはより深刻なアイデンティティベースの攻撃のリスクにさらされる可能性があります。

これは、規模と影響の両方においてこれまで記録された中で最も重要なソーシャルメディアデータの漏洩の一つかもしれません。2億人以上のユーザーが影響を受け、28億のIDが公開されたこの漏洩は、初期の脆弱性が発見されてから何年も経った今でも、完全には解決されていない長期的な脆弱性を反映しています。

今のところ、Xが応答し、非常に不安なユーザー基盤を安心させる必要があります。

これは進行中のストーリーであり、さらなる情報が得られ次第更新されます。