イーロン・マスクが運営するソーシャルメディアプラットフォーム「X(旧ツイッター)」は、ニュースの常連といえる存在だ。xAIによる330億ドル(約4兆9000億円)での買収報道、プラットフォーム障害を引き起こしたと主張する攻撃者、ユーザーを狙うXのパスワード詐欺など、話題が絶えない。
そしていま、Xユーザーにとって新たな衝撃的な事態が起きている。ある自称「データ愛好家」が、約2億件ものXユーザーのデータを含むとされるデータベースを無償で公開したためだ。以下に、現時点で判明していることを示す。
攻撃者がXの脆弱性を悪用しユーザー情報を取得
発端は米国時間(以下、同様)2022年1月にさかのぼる(イーロン・マスクによる買収は2022年10月、「X」への改名は2023年7月)。当時のツイッターは、バグ報奨金プログラムを通じて、メールアドレスや電話番号を知っているだけでプラットフォーム上のユーザーデータにアクセスできる脆弱性があることを認識した。同年7月には、この脆弱性が修正される前に誰かがすでに悪用し、大量のユーザーデータを収集・販売していることが判明。当時、ツイッターは「販売されているデータのサンプルを確認した結果、問題が修正される前に悪意ある行為者がこの脆弱性を利用したことを確認しました」と説明している。
そして現在、同じ問題が再びXユーザーを苦しめる事態になっているらしい。今回、ThinkingOneというデータ愛好家が、当時収集されたデータを入手し、さらに2025年1月に流出したとされる別のデータも追加したと主張している。
ThinkingOneは有名なデータ流出フォーラムに投稿し、「Xに連絡を試みたが反応がなかったため、データを無償で公開することを決めた」と述べている。
この件を最初に報じたセキュリティ企業Safety Detectivesによると、ThinkingOneは「両方のデータセットに含まれるXユーザーだけを抽出した」と主張しており、その結果、約34GBのCSVファイルに合計2億118万6753件のデータが含まれているという。Safety Detectivesの調査では少なくともその一部は本物だと確認されており、XのスクリーンネームやユーザーID、フルネーム、所在地、メールアドレス、フォロワー数、プロフィール情報、タイムゾーン、プロフィール画像などが含まれているとされる。
ThinkingOneが公開した最新のXファイル
筆者はThinkingOne本人とメールでやり取りを行った。ThinkingOneは自分をハッカーではなく「行為がすべて合法であることを心がけるデータ愛好家」だと考えているという。同氏は筆者にこう語った。
