ハッキングフォーラムで、ハッカーThinkingOneがTwitter(現X)から28億件を超えるユーザー情報が漏洩したとされる事案を報告しました。
これは2023年に発生した2億件規模の漏洩と合わせて、ソーシャルメディア史上最大級の情報漏洩とされています。
ThinkingOneによると、今回の漏洩はX社の大規模レイオフ時に不満を持った内部関係者が流出させた可能性が高いとされています。
なお、現時点でX社からの公式声明はないため今のところ真偽不明の情報です
目次
漏洩に関する概要
- 総データ量:約400GB(9GB圧縮CSVで配布)
- 対象件数:2,873,410,842アカウント分の記録
- 重複確認済みの一致データ数:2億件超(201,186,753件)
漏洩した内容は、2023年の公開情報に加えて、より詳細かつ内部向けの情報を含む点が大きな違いです。
なお、Xの世界的ユーザー数は5億を超えていますが、一方で漏洩件数は28億となっていますのでBotアカウントや削除されたアカウントなども含まれている可能性があります。
2023年版(旧データ)
- Name
- ScreenName(@ユーザー名)
- フォロワー数
- アカウント作成日
2025年版(新規漏洩データ)
- ユーザーID
- 名前(2021年時点)
- ロケーション
- プロフィール説明文
- URL(リンク)
- Email(重複あり)
- タイムゾーン
- 言語設定
- フォロワー数(2021年・2025年現在)
- フォロー数
- リスト登録数
- いいね数
- ツイート数
- アカウントの保護設定(公開/非公開)
- 認証マークの有無
- デフォルトプロフィール/アイコンの有無
- 最終ツイートの日時とクライアント情報
メールアドレスは漏洩していない?
ハッカーThinkingOneは2025年の漏洩データにメールアドレスを含めていますが。
Hackreadの分析によれば漏洩したメールアドレスは2023年のもので、今回公開されたリストは2023年の内容に統合した形だとしています。
なぜ深刻なのか?
以下の通り、個人特定やサイバー攻撃への悪用が可能になります。
漏洩範囲が「全世界ユーザー」
インシデントの規模が大きく、全世界のユーザーが対象になる可能性があります。
メタデータが豊富で「個人特定が可能」
複数の情報を突合することで、個人が特定できる可能性があります。
- 居住地 + プロフィール内容
- ユーザー名 + URL + 投稿タイミング
攻撃・詐欺の土台に利用される危険性
- フィッシング詐欺への悪用(リアルなメール文面生成)
- なりすましアカウント作成
- 政治的・思想的活動の監視や弾圧(海外)
情報システム部門がとるべき対応
公式声明はされていない為、真偽不明ですが個人アカウントを踏み台にした企業アカウントへのフィッシングなども発生する可能性もありますので
本件インシデントに関する注意喚起、リークデータを閲覧できる方は自社のドメインでメールアドレス検索を行う事をお勧めします。
関連記事
Proofpointの設定が悪用され何百万通のフィッシングメールが送信される
Trelloが不正アクセスで1500万人のメールアドレスがハッキングフォーラムへ漏洩
北朝鮮のIT労働者が日本企業で偽装就労か 実態とセキュリティリスクを解説
FortiGateのデバイス 認証情報漏洩で被害者のメールアドレスが公開 JPドメインも確認
サイバー攻撃の事例 【2024年】
ビジネスメール詐欺の実態と対策-巧妙な手口で信頼関係を醸成
セキュリティインシデントとは その種類と事例などを解説
ロックビット(Lock Bit)が米連邦準備銀行(FRB)へのハッキングを主張 専門家は懐疑的
ロックビット(Lock Bit)は米連邦準備銀行(FRB)ではなくエボルブ銀行へハッキングか