TwitterのCTOを務めるParag Agrawal氏が5月3日(米国時間)、公式ブログにおいて、全ユーザーに対しパスワードを変更するよう呼びかけた。原因は、Twitterのバグによって、パスワードがプレーンテキストでさらされてしまっていたことにある。
Twitterの公式ブログ、マカフィーの公式ブログ「Twitterが全3.3億ユーザーへパスワード変更を呼びかけ」を参考に、バグが生じた原因、ユーザーが対応すべき内容を整理してみたい。
バグによって、何が起きたのか?
Twitterは、bcryptという関数によって、パスワードをランダムな文字列としてTwitterのシステムに保存することで、パスワードを保護している。この過程でバグが生じて、内部のログにパスワードがテキストとして保存されてしまっていたという。
Twitterは、「自社でこのバグを発見し、テキストとして保存されていたパスワードを削除した。このバグが生じないよう、計画を立てている」とコメントしている。
なお、本稿執筆時点で、Twitterから危険な状態にさらされていたパスワードがどの程度あったのか、さらされていた期間はどの程度だったのかについては、発表されていない。
バグに対応するための3つのポイント
Twitterは「パスワードが盗まれたり、悪用されたりしたとは考えられないが」と前置きした上で、パスワードの安全性を保つために、以下の3つのことを行うよう呼びかけている。
パスワードを変更する
数字、小文字、大文字、記号などを組み合わせるなどして、パスワードを強力なものに変更する。最後に、「12345」などの連番や「password」などの一般的で解読が簡単なパスワードは避けたほうがよいという。
また、他のWebサイトでは利用しない強力なパスワードを利用してほしいとしている。他のWebサイトで、Twitterと同じパスワードを利用している場合は、そのパスワードも変更したほうがよい。
2段階認証を有効にする
Twitterでは、アカウントの乗っ取り対策として、「ログイン認証(Login Verification)」と呼ばれる2段階認証を導入している。この機能を有効にすると、Twitterにログインするためにパスワードとスマートフォン(またはタブレット)が必要になり、ログイン時にパスワードに加えて、携帯電話に送られるコードの入力が求められるようになる。
6ケタのログインコードは、デフォルトではショートメールで送信されるが、認証にサードパーティのアプリを利用することもできる。
パスワードマネージャーを利用する
パスワードを管理する管理アプリ、ツールやソフトである「パスワードマネージャー」によって、アカウントのセキュリティを向上することが可能だ。パスワードマネージャーでは、強力なパスワードを自動生成することができ、それぞれのアカウントに違うパスワードを設定しても数多くのパスワードを覚える必要がなくなる。加えて、よく使うWebサイトに自動でログインすることができる点でも便利だ。
万が一、パスワードが流出していた場合、Twitterのアカウントを第三者に乗っ取られて、不快なTweetをされたり、知人にウイルスを感染させるURLを送信されたりなど、悪用されるリスクがある。Twitterと同じアカウント名やパスワードを使用していた場合、課金が発生するようなサービスで悪用されるおそれもある。Twitterを利用している場合は、速やかにパスワードを変更されたい。