3200万件分のTwitterアカウント情報(ユーザー名・パスワード・メールアドレス)が売買されていることが明らかに
By Esther Vargas
月間アクティブユーザー数が世界全体で3億2000万人、日本ではFacebookなどを凌ぐ3500万人のユーザーを抱えるSNSがTwitterです。そのTwitterのアカウント情報約3200万件分が、インターネット上でハッカーたちの間で売買されていることが明らかになりました。
LeakedSource Analysis of Twitter.com Leak
https://www.leakedsource.com/blog/twitter
Passwords for 32M Twitter accounts may have been hacked and leaked | TechCrunch
A reported 32 million Twitter passwords up for sale, but Twitter wasn't hacked
http://www.neowin.net/news/a-reported-32-million-twitter-passwords-up-for-sale-but-twitter-wasnt-hacked
2016年6月、情報漏洩したセキュリティ関連データのデータベースを構築している「LeakedSource」が、Twitterアカウント3288万8300件分のアカウント情報がオンライン上で取引されていることを明かしました。取引されているTwitterアカウント情報というのは、ユーザー名・登録メールアドレス・パスワードで、LeakedSourceによるとこれらのアカウント情報は、一部が使用不可となっているものの、現在も多くが使用できる状態のようです。
LeakedSourceがこの事態を明かした後、Twitterの公式アカウントは「ユーザーの安全とアカウントを保護するために、我々は今回のパスワード流出に対して調査しています」とコメント。
To help keep people safe and accounts protected, we've been checking our data against what's been shared from recent password leaks.— Twitter Support (@Support) 2016年6月6日
今回のアカウント情報流出騒動で奇妙な点は、情報流出が「Twitterをハッキング」して行われたわけではなく、「他のどこかから漏れた」であろうという点です。上記のツイートの通り、Twitterは情報流出について調査を始めていますが、ハッキングを受けた形跡はなかったようです。
実際、Twitterの情報セキュリティ部門で役員を務めるマイケル・コアテスさんは、「我々はTwitterのアカウント情報が秘密裏に販売されている、という報告について調査しました。調査結果から、我々のシステムはハッキングされていないと確信しています」とツイートしており、Twitterがハッキングされて情報が漏洩した可能性を否定しています。
We have investigated reports of Twitter usernames/passwords on the dark web, and we're confident that our systems have not been breached.— Michael Coates ஃ (@_mwc) 2016年6月9日
実際にインターネット上で取引されていた約3200万件分のTwitterアカウントで最も頻繁に使用されていたパスワードランキングトップ44は以下の通り。最も頻繁に使用されていたパスワードは「123456」で、12万417件がこのパスワードを使用していました。その他、「123456789(3万2775件)」「qwerty(2万2770件)」「password(1万7471件)」といった単純なパスワードが続きます。なお、流出した情報の中で使用頻度が多いパスワードながらもわりとユニークなものとしては「9-11-1961(1万444件)」や「gfhjkm(7773件)」「cepetsugih(6603件)」「pakistan(4001件)」などがあります。
なお、販売されていたTwitterアカウント情報は暗号化されていないままの状態であったとのことで、Twitterが暗号化していない状態でパスワードなどの機密情報を自社サーバーに保管することはセキュリティ面からしてあり得ない、と海外ニュースサイトのNeowinは指摘しています。データのフォーマットや流出したアカウント情報のメールアドレスドメインなどを見ても、Twitterをハッキングして得た情報とは思えないとのこと。さらに、流出したTwitterアカウントの多くが、ロシアで人気の高いドメインのものであったことから、ロシア関連で何かしらの情報漏洩があったのではと考えられます。
以下は、流出した約3200万件のアカウント情報で使用されていたメールアドレスを、ドメイン別に分けて使用頻度の多いものから順に並べたもの。最も多く使用されていたのは、Gmailの「@gmail.com」でもYahoo!の「@yahoo.com」でもなく、ロシアの無料電子メールサービスMail.ruのドメイン「@mail.ru(502万8220件)」でした。
なお、Neowinは全てのウェブサービスで異なる複雑かつ長いパスワードを設定することを推奨しており、可能ならば2段階認証機能を使用することも勧めています。