TwitterのCTOを務めるParag Agrawal氏が5月3日(米国時間)、公式ブログにおいて、全ユーザーに対しパスワードを変更するよう呼びかけた。原因は、Twitterのバグによって、パスワードがプレーンテキストでさらされてしまっていたことにある。

Twitterの公式ブログ、マカフィーの公式ブログ「Twitterが全3.3億ユーザーへパスワード変更を呼びかけ」を参考に、バグが生じた原因、ユーザーが対応すべき内容を整理してみたい。

  • パスワード変更を呼びかけるTwitterの公式ブログ

バグによって、何が起きたのか?

Twitterは、bcryptという関数によって、パスワードをランダムな文字列としてTwitterのシステムに保存することで、パスワードを保護している。この過程でバグが生じて、内部のログにパスワードがテキストとして保存されてしまっていたという。

Twitterは、「自社でこのバグを発見し、テキストとして保存されていたパスワードを削除した。このバグが生じないよう、計画を立てている」とコメントしている。

なお、本稿執筆時点で、Twitterから危険な状態にさらされていたパスワードがどの程度あったのか、さらされていた期間はどの程度だったのかについては、発表されていない。

バグに対応するための3つのポイント

Twitterは「パスワードが盗まれたり、悪用されたりしたとは考えられないが」と前置きした上で、パスワードの安全性を保つために、以下の3つのことを行うよう呼びかけている。

パスワードを変更する

数字、小文字、大文字、記号などを組み合わせるなどして、パスワードを強力なものに変更する。最後に、「12345」などの連番や「password」などの一般的で解読が簡単なパスワードは避けたほうがよいという。

また、他のWebサイトでは利用しない強力なパスワードを利用してほしいとしている。他のWebサイトで、Twitterと同じパスワードを利用している場合は、そのパスワードも変更したほうがよい。

2段階認証を有効にする

Twitterでは、アカウントの乗っ取り対策として、「ログイン認証(Login Verification)」と呼ばれる2段階認証を導入している。この機能を有効にすると、Twitterにログインするためにパスワードとスマートフォン(またはタブレット)が必要になり、ログイン時にパスワードに加えて、携帯電話に送られるコードの入力が求められるようになる。

6ケタのログインコードは、デフォルトではショートメールで送信されるが、認証にサードパーティのアプリを利用することもできる。

  • Twitterの「プロフィール」のアイコンをクリックして、「設定とプライバシー」を設定すると、ログイン認証を設定できる

パスワードマネージャーを利用する

パスワードを管理する管理アプリ、ツールやソフトである「パスワードマネージャー」によって、アカウントのセキュリティを向上することが可能だ。パスワードマネージャーでは、強力なパスワードを自動生成することができ、それぞれのアカウントに違うパスワードを設定しても数多くのパスワードを覚える必要がなくなる。加えて、よく使うWebサイトに自動でログインすることができる点でも便利だ。

万が一、パスワードが流出していた場合、Twitterのアカウントを第三者に乗っ取られて、不快なTweetをされたり、知人にウイルスを感染させるURLを送信されたりなど、悪用されるリスクがある。Twitterと同じアカウント名やパスワードを使用していた場合、課金が発生するようなサービスで悪用されるおそれもある。Twitterを利用している場合は、速やかにパスワードを変更されたい。