日本ではゴールデンウィークまっただ中の5月3日(米国現地時間)、Twitterがすべてのユーザーに対してパスワードの変更を呼びかけるという異例の声明を公式ブログで公開しました。約3.3億人の全ユーザーが対象とのことで、きわめて大きな事故といえます。
ただ、「Keeping your account secure」と題されたTwitterのブログはすべて英語で書かれており、「内容がよく分からない」という人も多いはず。そこで、セキュリティソフトを手がけるマカフィーが、同社の公式ブログで今回の事故の経緯や対策を分かりやすく解説しました。
-
Twitterの公式ブログで公開された声明。事故の経緯やユーザーに対する勧告などがまとめられている
パスワードが平文で保存されてしまった
マカフィーの公式ブログによると、今回の事故はTwitterユーザーのパスワードを保護するための暗号化処理の過程でエラーが発生し、Twitter社内のログに一部ユーザーのパスワードが暗号化されていないプレーンテキスト(平文)の状態で保存されてしまっていたといいます。
ただ、Twitterはそのような危険な状態に晒されたパスワードがどのくらいのユーザー数あったのか、どれぐらいの期間そうなっていたのかを発表していません。つまり、パスワードが第三者に流出したかどうかは分からないのです。しかし、Twitterは「万が一のことを考えて、すべてのユーザーはパスワードを変更してほしい」と呼びかけており、この機会にパスワードを変更するのが賢明といえます。
パスワードマネージャーの利用も検討したい
マカフィーによると、新しいパスワードはこれまでよりも複雑なものにすべきだと解説します。アルファベットは小文字と大文字の両方を使いつつ、数字や記号も交えることを推奨しています。「12345」などの連番や「password」など一般的な単語を用いるのは絶対に避けるべきです。
また、これまでTwitterで使っていたパスワードをほかのサービスでも使い回していた場合、そのアカウントのパスワードも変更すべきだと力説します。万が一、Twitterのアカウントが乗っ取られた場合、ほかのサービスもハッキングの被害を受け、金銭的な被害を被る可能性があるからです。
さまざまなサービスやアカウントごとに異なるパスワードを設定したが、覚え切れない…という人は、市販のパスワードマネージャー(パスワードの設定や管理をするためのソフトウエア)を使うことを推奨しています。多くのパスワードマネージャーでは、ログインする際に自動でパスワードを入力する機能があるため、いちいちメモしたり覚える必要がなくなります。
