またその時がやってきたーーパスワード変更の時だ。木曜日(米国時間5/3)Twitterは、バグのためにユーザーパスワードが隠蔽されていない形式で保存されていたことを公表した。通常、パスワードのような機密データは様々な文字と数字を使ったハッシュ形式で保存され、パスワード文字列そのものは保護されている。今回Twitterは、内部ログにパスワードをハッシュなしの平文形式で保存していたものと思われる。
Twitterは、これまでのところシステム内のパスワード情報が漏洩したり、ハッカーによってアクセスされた形跡はないとしているが、未知のリスクはあり得る。同社はユーザーに対して予防措置としてパスワードの変更を推奨している。
Twitterの説明は以下の通り
われわれは、bcryptという関数を使ったハッシングと呼ばれる処理によってパスワードを隠蔽している。実際のパスワードは無意味な数字と文字の列に変換されてTwitterシステムに保存されている。この方法によって、システムはパスワードを表に出すことなく個人認証を行うことができる。これは業界標準のやり方である。
このほどバグのためにハッシング処理の完了前にパスワードが内部ログに書き込まれた。われわれはこのエラーを自ら発見し、パスワードを削除するとともに、このようなバグが再発しないよう対策を検討している。
本誌はTwitterに連絡をとり、バグの詳しい情報および、発生理由の詳細を求めている。
アップデート:Twitterは本事象の技術的詳細の提供を拒んだが、パスワードが発見される可能性は極めて低く、内部調査の結果侵入あるいは不正利用を示す兆候がないことを強調した。
これだけの規模の企業が、このように基本的なセキュリティーの失敗を犯すことは珍しいが、これはユーザーがパスワード管理を見直す新たな理由でもある。たとえ使用しているプラットフォームに間違いがあったときでも、自分のアカウントを安全に保つために、今こそ二要素認証やLastPass、1Password などのパスワード・マネージャーを導入するときだ。
