Twitterで個人の電話番号が関係のない第三者に漏れてしまうバグが発見されました。現在はすでに対策されたようです。どのようなバグだったのでしょうか。私たちはこのようなネット上のセキュリティ問題から予期せぬダメージを受けないために、何をすれば良いのかも考えていきます。
セキュリティの専門家による実験で発覚
Twitterアプリではアプリ上に自分のスマホに登録されている連絡先をアップロードする機能があります。この機能を使えば、携帯電話番号をアカウントに紐づけて使用している自分の友人をTwitter上で見つけることができます。
この機能を悪用すると、どのアカウントが実際にどの電話番号を使用しているか割り出すことが可能です。ランダムに携帯電話番号を自分のスマホの連絡先に入力し、それをTwitterアプリ上にアップロードすることで、電話番号と紐づいたアカウントが表示されます。実際には知り合いでもなんでもない他人の重要な個人情報である携帯電話番号を割り出すことができるのです。
しかし、Twitterではこの方法をマッチング攻撃と呼んでおり、防御は済んでいました。連続した電話番号のアップロードを受け付けない対策です。
しかし、今回は20億件の電話番号リストを作成後、順番をランダムに並べ替えた状態でTwitteraアプリにアップロードを行ったところ、その電話番号に紐づいたアカウントが表示されたということです。電話番号がわかったアカウントは有力な政治家や官僚のものが含まれていました。
これはあくまで実験であり、行ったのはセキュリティの専門家であるIbrahim Balicなる人物。以前にはAppleがハッキングされた証拠をつかんだとSNSで発言し注目を集めました。
現在はバグは解決済みということですが、悪意のある攻撃だったらと考えるとゾッとします。
ネット上で個人情報をどう守るか
ネット上では匿名での利用やコミュニケーションが可能なサービスが溢れています。しかし、一見利用時には匿名に見えるサービスでも、登録時には電話番号やクレジットカード情報、年齢や氏名、住所などを入力していることが多いはずです。サービス提供者側がユーザーの個人情報を入手することで、マーケティングや二次的な個人情報の活用を行いたい狙いがあります。
聞いたことがないようなやービスや新興の企業だけでなく、大手のSNSやネット上のサービスでも盛んです。「大手だから有名だから安心」では全くないのです。
我々ができることは「ネットでの活動はリスクがある」と認識することです。基本的にはサービスの登録を行う際に「そもそも本当に必要か」再度自問自答すべきでしょう。
さらに電話番号などのコアな個人情報を気軽に登録しない。Gmail等のフリーのアドレスで事足りるケースもあります。
あとは見た目だけ信頼性の高いフィッシング詐欺サイトでないか。大手のサービスと勘違いして個人情報を入力すると全て抜き取られ、甚大な被害を被る可能性もあります。これから登録しようとしているサービスが怪しくないか。すでに使用しているパスワードなど過度な個人情報の開示を求めていないか注意しましょう。
