Twitterが5月3日(米国時間)、直ちにパスワード変更をするように呼びかけました。この警告は全てのユーザーに向けて発信されたということが明らかになっています。今年のワールドパスワードデイは、Twitterの全3.3億ユーザーがパスワードを変更する日になってしまいました。バグによってパスワードがプレーンテキストとして晒されてしまっていたとのこと。そこで、どういうことが起きたのか、またユーザーはどうすれば良いのかについてお伝えします。
目次
1.バグの概要
どういう経緯でこのようなバグが起きたのかについてTwitterによると、パスワードを保護する暗号化の過程で問題が生じてこの脆弱性が発生したとのことです。この過程はパスワードをランダムな文字列としてTwitterのシステムに保存することでパスワードを保護することが目的です。しかしこの過程中にエラーが起こり、内部のログにこれらのパスワードがテキストとして保存されてしまっていたのです。
このニュースはTwitterの公式ブログで初めて発表されました。ブログ内で、「このエラーは我々自身で発見し、晒されていたパスワードを取り除き、このバグが再発しないよう対応しています。」と明かされました。今のところTwitterは、危険な状態に晒されたパスワードがどのくらいあったのか、またその期間について発表していません※。つまり、「未だ流出して、悪用するようなサイバー犯罪者の手に渡ったかはわからない」ということです。Twitterは万が一のことを考えて、全てのユーザーがパスワードを変更するように促しています。しかし、パスワードを変更する以外に、Twitterユーザーはこのバグからパスワードを守るために何をすればいいのでしょうか?
2.バグへの対応について
今回のTwitterからの呼びかけに対し、どうすれば良いのでしょうか?対策するために3つのポイントをお伝えします。
2-1.パスワードは強力なものに
新しいパスワードは強力なものにしましょう。パスワードを変更する時は、強いパスワードにすることでサイバー犯罪者が解読しにくくなります。数字、小文字、大文字、記号などを使いましょう。パスワードが複雑であればあるほど、解読が難しくなります。最後に、「12345」などの連番や「password」などの一般的で解読が簡単なパスワードは避けましょう。
2-2.全てのアカウントにユニークなパスワードを
全てのアカウントにユニークなパスワードを使用しましょう。Twitterと同じパスワードを他のアカウントでも使っていませんか?もしそうであれば、そのアカウントのパスワードも同時に直ちに変更する必要があります。これはセキュリティーの鉄則です。常にそれぞれのアカウントに違うパスワードを使用することです。そうすることでハッキングされた場合に全てのアカウントが危険な状態になることを防ぐことができます。数多くのパスワードを覚えるのは難しいかもしれませんが、そうすることで全てのアカウントを安全に保つことができます。
2-3.パスワードマネージャー(管理アプリ、ツールやソフト)の利用
パスワードマネージャー(パスワード管理アプリ、ツールやソフト)を使いましょう。そうすることでセキュリティーをさらに高いレベルに上げることができます。パスワードマネージャーで自動生成されるパスワードにより、強力なパスワードを作成することができ、それぞれのアカウントに違うパスワードを設定しても数多くのパスワードを覚える必要もなくなります。さらによく使うウェブサイトに自動でログインすることができるので便利です。
3.対策しなかった場合どうなる?
仮に流出していた場合、Twitterアカウントが第三者に乗っ取られ、知らない間にTweetされたり知人に対してウイルスを感染させるURLを送信したりと悪用されるリスクがあります。ただ、それよりも怖いのが、Twitterと同じアカウント名やパスワードを使用していた場合、課金が発生するようなサービスで悪用される可能性があります。
上述のポイントのとおり、面倒でもアカウント毎に違うパスワードを設定することが必要なのです。今回も、もし他のアカウントでも同じパスワードを使用していたら、異なるパスワードに変更することをおすすめします。
※本ページの内容は、2018年5月3日更新のMcAfee Blogの以下の記事の抄訳をMcAfee Japanブログの構成に編集したものです。
原文: Bug Alert! All 330 Million Twitter Users Need to Change Their Passwords Immediately
著者: Gary Davis