Twitter は、2018 年 5 月 2 日(米国時間)、同サービスのシステムで確認された不具合によりユーザのパスワードが内部的に露出していたと発表し、すべての利用者に対してアカウントのパスワードを変更するように促しました。この不具合は既に調査および修正が完了しています。内部に詳しい人物によると、かなりの数のユーザがこの不具合の影響を受け、パスワードは「数カ月間」露出していたとのことです。
発表の中で Twitter は、同社が「bcrypt方式」でパスワードをハッシュ化していると説明しました。bcrypt は、パスワードをサーバ側に保存せずにユーザのアカウントを認証することができる、強力なハッシュアルゴリズムだと言われています。通常、ID とパスワードによるログイン機能では、サーバ側ではパスワードのハッシュ値のみを保持し、ユーザが入力したパスワードのハッシュ値と比較することによってアカウントを認証します。しかし、今回確認された不具合は、ハッシュ値を計算する前のパスワードがシステム内のログに平文で保存されていたというものです。同社は、内部ログにパスワードを保存する必要があった理由については明らかにしていません。調査では、情報漏えいや、影響を受けたアカウント悪用の痕跡は確認されていませんが、同社はユーザに対して、同じパスワードを利用しているその他のサービスと合わせて、Twitter アカウントのパスワードを変更するように呼びかけています。
Twitter はこの問題について、アプリを開いた際のポップアップ通知でもユーザに対する呼びかけを行っています。また、「このような不具合の再発を防止するための計画を実行中」とのことです。
Twitter のユーザ数は、2018 年 2 月時点で約 3 億 3 千万人と報告されています。
以下は、ソーシャルメディアアカウントを保護するための推奨事項です。
- パスワードに関するベストプラクティスに従ってください。攻撃者は、入手した個人情報によるパスワードの類推や辞書攻撃によってユーザのオンラインアカウントに不正アクセスします。誕生日や一般的な単語を使用した類推されやすいパスワードの使用や、複数のソーシャルメディアでの同一パスワードの使い回しは避けてください。
- すべてのオンラインアカウントで二要素認証を有効化してください。多くの Web サイトやアプリが二要素認証に対応しています。ID とパスワードに、もう 1 つの情報を組み合わせることで、より一層安全にアカウントを管理することが可能です。
- オンラインアカウントのセキュリティおよびプライバシー設定を確認してください。通常、初期設定によって一定のセキュリティ対策が取られていますが、マーケティングのための情報収集が可能になっている場合があります。初期設定を確認し、公開しても良い情報とそうでない情報を必要に応じて設定してください。認証情報や個人情報の窃取や改ざんを防ぐためであれば、多少の手間は惜しむべきではないでしょう。
- パスワードマネージャー(パスワード管理ソフト)の利用が推奨されます。それぞれのオンラインアカウントに対して個別に強力なパスワードを設定し、使い分けるのは、現実的に容易ではありません。トレンドマイクロの「Password Manager™」のようなパスワード管理ソフトを使用することで、強力なマスターパスワードを使用して各オンラインアカウントにログインすることが可能です。
参考記事:
- 「Change Your Passwords: Twitter Bug Exposes User Passwords」
by Trend Micro
翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)