3200万件分のTwitterアカウント情報(ユーザー名・パスワード・メールアドレス)が売買されていることが明らかに

By Esther Vargas

月間アクティブユーザー数が世界全体で3億2000万人、日本ではFacebookなどを凌ぐ3500万人のユーザーを抱えるSNSがTwitterです。そのTwitterのアカウント情報約3200万件分が、インターネット上でハッカーたちの間で売買されていることが明らかになりました。

LeakedSource Analysis of Twitter.com Leak
https://www.leakedsource.com/blog/twitter


Passwords for 32M Twitter accounts may have been hacked and leaked | TechCrunch
http://techcrunch.com/2016/06/08/twitter-hack/

A reported 32 million Twitter passwords up for sale, but Twitter wasn't hacked
http://www.neowin.net/news/a-reported-32-million-twitter-passwords-up-for-sale-but-twitter-wasnt-hacked

2016年6月、情報漏洩したセキュリティ関連データのデータベースを構築している「LeakedSource」が、Twitterアカウント3288万8300件分のアカウント情報がオンライン上で取引されていることを明かしました。取引されているTwitterアカウント情報というのは、ユーザー名・登録メールアドレス・パスワードで、LeakedSourceによるとこれらのアカウント情報は、一部が使用不可となっているものの、現在も多くが使用できる状態のようです。

LeakedSourceがこの事態を明かした後、Twitterの公式アカウントは「ユーザーの安全とアカウントを保護するために、我々は今回のパスワード流出に対して調査しています」とコメント。


今回のアカウント情報流出騒動で奇妙な点は、情報流出が「Twitterをハッキング」して行われたわけではなく、「他のどこかから漏れた」であろうという点です。上記のツイートの通り、Twitterは情報流出について調査を始めていますが、ハッキングを受けた形跡はなかったようです。

実際、Twitterの情報セキュリティ部門で役員を務めるマイケル・コアテスさんは、「我々はTwitterのアカウント情報が秘密裏に販売されている、という報告について調査しました。調査結果から、我々のシステムはハッキングされていないと確信しています」とツイートしており、Twitterがハッキングされて情報が漏洩した可能性を否定しています。


実際にインターネット上で取引されていた約3200万件分のTwitterアカウントで最も頻繁に使用されていたパスワードランキングトップ44は以下の通り。最も頻繁に使用されていたパスワードは「123456」で、12万417件がこのパスワードを使用していました。その他、「123456789(3万2775件)」「qwerty(2万2770件)」「password(1万7471件)」といった単純なパスワードが続きます。なお、流出した情報の中で使用頻度が多いパスワードながらもわりとユニークなものとしては「9-11-1961(1万444件)」や「gfhjkm(7773件)」「cepetsugih(6603件)」「pakistan(4001件)」などがあります。


なお、販売されていたTwitterアカウント情報は暗号化されていないままの状態であったとのことで、Twitterが暗号化していない状態でパスワードなどの機密情報を自社サーバーに保管することはセキュリティ面からしてあり得ない、と海外ニュースサイトのNeowinは指摘しています。データのフォーマットや流出したアカウント情報のメールアドレスドメインなどを見ても、Twitterをハッキングして得た情報とは思えないとのこと。さらに、流出したTwitterアカウントの多くが、ロシアで人気の高いドメインのものであったことから、ロシア関連で何かしらの情報漏洩があったのではと考えられます。

以下は、流出した約3200万件のアカウント情報で使用されていたメールアドレスを、ドメイン別に分けて使用頻度の多いものから順に並べたもの。最も多く使用されていたのは、Gmailの「@gmail.com」でもYahoo!の「@yahoo.com」でもなく、ロシアの無料電子メールサービスMail.ruのドメイン「@mail.ru(502万8220件)」でした。


なお、Neowinは全てのウェブサービスで異なる複雑かつ長いパスワードを設定することを推奨しており、可能ならば2段階認証機能を使用することも勧めています。

・2016/06/13 10:55 追記
リークを受け、Twitterはアカウント情報が漏洩したTwitterアカウントに対して、メールでパスワードのリセットを要求しています。また、アカウントの持ち主以外が許可なく該当アカウントにアクセスすることを防ぐため、ユーザーのもとに届いたパスワードリセットの案内を実行しない限り、該当アカウントにログインすることはできなくなっている模様。なお、Twitterは強力なパスワードの設定と、1PasswordLastPassといったパスワードマネージャーの使用を推奨しています。

Keeping your account safe | Twitter Blogs
https://blog.twitter.com/2016/keeping-your-account-safe

・関連記事
ロシア最大のSNSがハッキングされて1億ものパスワードが暗号化されずに平文で流出 - GIGAZINE

約5000万人分の詳細な個人情報が漏洩、過去最大級のリークとなる可能性も - GIGAZINE

グリコのネットショップから約8万件の名前・クレカ情報・Eメールなど個人情報が流出した可能性 - GIGAZINE

Gmail・Hotmail・Yahoo!などから2億7200万件のメールアドレスとパスワードが流出したことが判明 - GIGAZINE

Amazonのカスタマーサービス経由でアカウント情報が流出したことが判明 - GIGAZINE

Amazonのクラウドサービス上で9340万人分の個人情報が閲覧可能になっていたことが判明 - GIGAZINE

612

in モバイル,  ソフトウェア,  ウェブアプリ,  セキュリティ, Posted by logu_ii