米ツイッターは3日(現地時間)、保護されていない状態のパスワードが社内システムのログに一時的に残るバグを発見したとして、ユーザーにパスワード変更を呼びかけた。
Twitterは、システム内で実際のパスワードからランダムな数字や文字を組み合わたものに変更する「ハッシュ化」と呼ばれる処理でパスワードを保護している。簡単に言えば、ランダムな文字列としてシステムに保存することで、パスワードそのものをサービス側に残さないようにしておき、照合には使えるが、流出しても不正アクセスなどには使えないようにするものだ。
ところが、今回発見されたバグでは、ハッシュ化を完了する前のパスワードが平文(プレーンテキスト)で、社内システムのログに一時的に書き出されるようになっていたという。
バグは社内で発見され、すでに修正済みであり、利用者のパスワードが社内システムにそのまま保存されたり、社内で誤ってパスワードにアクセスされた事実はないという。ただ、万が一を考え、Twitterのパスワードと、他のサービスで同じパスワードを利用していた場合は、そちらもあわせて変更を検討するよう求めている。
つまり、Twitterから「パスワードが流出した」わけでもなく、企業として「パスワードを保護していなかった」わけでもない。あくまで、「保護する前のパスワードそのものがシステムのログに残ってしまっていた(ただし、流出はしていない)」と発表したことになる。ユーザーがパスワードを変更するかどうかの判断の材料にしてほしい、ということだろう。
今回の件は緊急性の高い事件ではないが、これを機にパスワードについて考え直してみるのもよいだろう。たとえば、Twitterではログインの際に、パスワードだけでなく電話番号(SMS)による認証も必要になる「2段階認証」(ログイン認証)を利用している。これを有効にすれば、パスワードが知られてしまったとしても、電話番号に届く認証番号なしではログインできなくなるため、より強固なセキュリティとなる。Twitterだけでなく、Facebook、Google、Apple IDなど、2段階認証対応のサービスも多いので、それらの設定をあわせて見直すのも有効だ。
また、パスワードの使い回しは厳禁。今回の件で、仮にTwitterで利用しているパスワードが流出してしまったとする。もし、ほかのサービスでも同じパスワードを使いまわしていたら、それらすべてに不正アクセスされる可能性があるので、サービスごとにパスワードは異なるものにしておいたほうがよい。
推測されにくいパスワードを作成できる、それぞれのアカウントに異なるパスワードを設定してもいちいち思い出す必要もなくなるという点で、パスワード管理ソフトを使うのも有効だ。クラウド経由でデータを共有できるソフトなら、パソコンからでもスマホからでもパスワードが同期されてすぐに使えるため、安全を保ったまま格段に使いやすくなる。
面倒に思えるかもしれないが、さまざまなSNSやウェブサービスなどを利用するのが当たり前の昨今にあっては、パスワードを強力なものにしておく必要がある。今回はMcAfee Blogの「Twitterが全3.3億ユーザーへパスワード変更を呼びかけ」を紹介しよう。
Twitterが全3.3億ユーザーへパスワード変更を呼びかけ
Twitterが5月3日(米国時間)、直ちにパスワード変更をするように呼びかけました。この警告は全てのユーザーに向けて発信されたということが明らかになっています。今年のワールドパスワードデイは、Twitterの全3.3億ユーザーがパスワードを変更する日になってしまいました。バグによってパスワードがプレーンテキストとして晒されてしまっていたとのこと。そこで、どういうことが起きたのか、またユーザーはどうすれば良いのかについてお伝えします。
Twitter サポートからのTweet画面 スクリーンコピー
1. バグの概要
どういう経緯でこのようなバグが起きたのかについてTwitterによると、パスワードを保護する暗号化の過程で問題が生じてこの脆弱性が発生したとのことです。この過程はパスワードをランダムな文字列としてTwitterのシステムに保存することでパスワードを保護することが目的です。しかしこの過程中にエラーが起こり、内部のログにこれらのパスワードがテキストとして保存されてしまっていたのです。
このニュースはTwitterの公式ブログで初めて発表されました。ブログ内で、「このエラーは我々自身で発見し、晒されていたパスワードを取り除き、このバグが再発しないよう対応しています。」と明かされました。今のところTwitterは、危険な状態に晒されたパスワードがどのくらいあったのか、またその期間について発表していません※。つまり、「未だ流出して、悪用するようなサイバー犯罪者の手に渡ったかはわからない」ということです。Twitterは万が一のことを考えて、全てのユーザーがパスワードを変更するように促しています。しかし、パスワードを変更する以外に、Twitterユーザーはこのバグからパスワードを守るために何をすればいいのでしょうか?
※本ページの内容は、2018年5月3日更新のMcAfee Blogの以下の記事の抄訳をMcAfee Japanブログの構成に編集したものです。
2. バグへの対応について
今回のTwitterからの呼びかけに対し、どうすれば良いのでしょうか?対策するために3つのポイントをお伝えします。
2-1. パスワードは強力なものに
新しいパスワードは強力なものにしましょう。パスワードを変更する時は、強いパスワードにすることでサイバー犯罪者が解読しにくくなります。数字、小文字、大文字、記号などを使いましょう。パスワードが複雑であればあるほど、解読が難しくなります。最後に、「12345」などの連番や「password」などの一般的で解読が簡単なパスワードは避けましょう。
2-2. 全てのアカウントにユニークなパスワードを
全てのアカウントにユニークなパスワードを使用しましょう。Twitterと同じパスワードを他のアカウントでも使っていませんか?もしそうであれば、そのアカウントのパスワードも同時に直ちに変更する必要があります。これはセキュリティーの鉄則です。常にそれぞれのアカウントに違うパスワードを使用することです。そうすることでハッキングされた場合に全てのアカウントが危険な状態になることを防ぐことができます。数多くのパスワードを覚えるのは難しいかもしれませんが、そうすることで全てのアカウントを安全に保つことができます。
2-3. パスワードマネージャー(管理アプリ、ツールやソフト)の利用
パスワードマネージャー(パスワード管理アプリ、ツールやソフト)を使いましょう。そうすることでセキュリティーをさらに高いレベルに上げることができます。パスワードマネージャーで自動生成されるパスワードにより、強力なパスワードを作成することができ、それぞれのアカウントに違うパスワードを設定しても数多くのパスワードを覚える必要もなくなります。さらによく使うウェブサイトに自動でログインすることができるので便利です。
3. 対策しなかった場合どうなる?
仮に流出していた場合、Twitterアカウントが第三者に乗っ取られ、知らない間にTweetされたり知人に対してウイルスを感染させるURLを送信したりと悪用されるリスクがあります。ただ、それよりも怖いのが、Twitterと同じアカウント名やパスワードを使用していた場合、課金が発生するようなサービスで悪用される可能性があります。
上述のポイントのとおり、面倒でもアカウント毎に違うパスワードを設定することが必要なのです。今回も、もし他のアカウントでも同じパスワードを使用していたら、異なるパスワードに変更することをおすすめします。
原文:Bug Alert! All 330 Million Twitter Users Need to Change Their Passwords Immediately
著者:Gary Davis
■関連サイト
