Security Affairsは7月25日、「Threat actor offers Clubhouse secret database containing 3.8B phone numbers - Security AffairsSecurity Affairs」において、音声ソーシャルネットワークサービス(SNS)の「Clubhouse」から流出したとされる36億件の電話番号データがハッキングフォーラムで売りに出されていると伝えた。サンプルデータとして、8350万件の日本の電話番号も公開されたという。

Clubhouseは音声のみのコミュニケーションを提供するソーシャルネットワークサービスで、日本では2021年1月後半頃から流行が始まった。利用するには、電話番号の登録とアプリに対するスマートフォンの電話帳データの共有が必須となっている。そのため、Clubhouseのデータベースには実際にサービスを利用しているユーザーだけでなく、各ユーザーの電話帳に登録されている電話番号も含まれている可能性がある。したがって、ハッキングフォーラムの投稿者が言うように、このデータがClubhouseから入手したものだとすれば、被害の規模はClubhouseのユーザーに止まらない。

サンプルとして公開された電話番号データは2ケタの国番号から始まる12ケタの番号で、各番号には対象スマートフォンの電話帳に含まれるClubhouseユーザーの数に基づくスコアが付けられているという。ただし、公開されているのは電話番号とスコアのみであり、名前などのその他の情報にはひもづいていない。したがって、このデータが本当にClubhouseから流出したものなのか、またはランダムに作成した偽のデータなのかは現時点では判別できないという指摘もある。また、データがサンプルのように電話番号だけで、その他の個人情報にひもづいていないのであればその価値は低い。

  • Clubhouseから入手した36億件の電話番号データを販売する主張する投稿

    Clubhouseから入手した36億件の電話番号データを販売する主張する投稿

ハッキングフォーラムへの投稿には、この電話番号データは2021年9月4日にプライベートオークションで1人のみに販売される予定と書かれている。もし本当に36億件の電話番号が流出したとなれば大きな事件だが、現時点では信憑性が高い情報とは言えないため、慌てるのは専門家による検証が済んでからでよさそうだ。なお、本稿執筆時点ではClubhouseから公式なコメントは発表されていない。

【続報】Clubhouseの創立者であるPaul Davison氏は7月25日(米国時間)に行われたイベント「Clubhouse Townhall」においてこの件について触れ、Clubhouseへの侵入は一切なく、何者かが外部にボットを設置して電話番号のように見えるランダムなデータを生成したものだと説明した。