Daily Cybersecurityは10月28日(現地時間)、「RIP Twitter.com: X Retires Old Domain, Forcing Passkey Reset by Nov 10」において、X(旧Twitter)が古いドメイン「twitter.com」を廃止すると報じた。

twitter.comは米国の起業家Elon Musk氏に買収されてから、x.comへのリダイレクトドメインとして運用されてきた。ところが10月25日、Xの公式アカウント@Safetyは「継続してXにアクセスできるようにキーの再登録をお願いしています」と投稿し、twitter.comドメインで登録したセキュリティキーおよびパスキーが無効になると発表した。

これはセキュリティキーに組み込まれたフィッシング対策を目的とするもので、登録時とは異なるドメインでの認証を拒否する。twitter.comで登録した認証情報はx.comで利用できず、再登録する必要がある。今回の再登録の要請は、twitter.com上で稼働している認証システムの廃止を意味しており、将来的にtwitter.comドメインも廃止する可能性を示唆したと言える。

再登録の期限は11月10日

Xの二要素認証(2FA: Two-Factor Authentication)に登録したセキュリティキーの再登録期限は11月10日とされる。この日までに再登録しない場合、セキュリティキーによる認証は失敗するようになる。セキュリティキーおよびパスキーを使用しないユーザーには影響しない。

  • X公式アカウント@Safetyの発表

    X公式アカウント@Safetyの発表

@Safetyが10月26日に投稿した補足説明によると、既存のセキュリティキーはtwitter.comにひもづけられており、セキュリティキーを登録したすべてのユーザーが対象になるという。@Safetyは「新しいセキュリティキーを登録すると、他のセキュリティキーはすべて使用できなくなります」と述べ、Xの認証に使用しているすべてのセキュリティキーを再登録するように求めている。

なお、Daily CybersecurityはXのセキュリティキーおよびパスキーは信頼性に問題があると指摘し、追加の二要素認証を登録するように推奨している。これはセキュリティキーを紛失、破損した場合のバックアップとしても有効で、緊急用に登録およびテストしておくことが望まれている。