Twitterのログイン時に、第三者が、任意の電話番号またはメールアドレスを入力することで、その情報が既存のTwitterアカウントに関連付けられているかどうかを確認したり、関連付けられている場合にはその具体的なアカウントを特定したりできてしまう脆弱性について、利用者の皆様にお知らせします。Twitterは利用者の皆様のプライバシーを保護する責任を真摯に受け止めており、このような問題が発生したことを残念に思っています。利用者の皆様はこの問題に関して、対処する必要はございませんが、発生した問題やTwitterの講じた対策、そしてアカウントの安全を維持するための最善の方法について、詳細をお伝えします。

発生した問題について

2022年1月、TwitterはBug Bountyプログラムを通じて、Twitterのシステムにおける脆弱性に関する報告を受けました。この脆弱性により、第三者が任意のメールアドレスまたは電話番号をTwitterのシステムに送信し、そのメールアドレスまたは電話番号に関連付けられたTwitterアカウントが存在する場合、Twitterのシステムからその第三者に対し、当該Twitterアカウントが通知されていました。このバグは2021年6月のコードの更新に起因しています。Twitterではこのバグが確認された際に、速やかに調査および修正を実施しました。調査、修正を実施した時点では、この脆弱性を悪用したことを示唆する形跡は確認されていませんでした。

アカウントを保護する方法

Twitterは、匿名のTwitterアカウントを運用している利用者が、このような問題により被り得るリスクについて把握しており、このような問題が発生したことを大変申し訳なく思っています。個人情報を可能な限り秘匿するには、公表している電話番号やメールアドレスをTwitterアカウントに登録しないことをおすすめします。

Twitterでは、パスワードは漏洩していませんが、不正ログインからアカウントを保護するため、認証アプリやハードウェアセキュリティキーを使用した2要素認証を有効化することを、すべてのユーザーにおすすめしています。アカウントの安全性について懸念がある場合や、Twitterにおける個人情報の保護方法について質問がある場合には、こちらのフォームからTwitterのデータ保護担当までお知らせください。 

セキュリティの脆弱性に関する詳細についてはヘルプセンターを、プラットフォームの操作や外国政府の関与する活動からTwitterを保護する取り組みに関する詳細についてはTwitterの透明性に関するレポートをご覧ください。