Twitter(ツイッター)は米国時間12月2日、ハードウェアセキュリティキーで保護されたアカウントでiPhoneとAndroid端末にログインできるようになったことを発表した。
ソーシャルメディアの巨人は2018年にハードウェアセキュリティキーのサポートを開始し、テキストメッセージやアプリによるコード生成といった二要素認証の代わりに、アカウントの物理的セキュリティ障壁を新たに追加した。
セキュリティキーはキーホルダーにつけられる小ささながら、ログインする時にユーザーがキーを挿入しなければならなくすることで、ある種のアカウントハッキングをほぼ不可能にする。これは地球の裏側にいる誰かが、たとえあなたのユーザー名とパスワードを知っていても、アカウントに容易に侵入できないことを意味している。
しかし技術的制約(Twitter投稿)のために、セキュリティキーで保護されたアカウントは、パソコンでのみログイン可能で、モバイル機器からは入れなかった。
ツイッターは2019年にWebAuthnプロトコルに切り替える(Twitterブログ)ことで頭痛の一部を解決し、ハードウェアセキュリティキーのサポートを他のデバイスやブラウザーに拡張する道を開いた。
これでツイッターアカウントにセキュリティキーを設定している人は誰でも、同じキーを使って自分のモバイル端末にログインできるようになった(現在さまざまなデバイスで利用できるセキュリティキーがYubiKeysやGoogleのTitanキー(未訳記事)をはじめ山ほど発売されている。
以前からツイッターは(他の会社も)ジャーナリスト、政治家、政府関係者などの著名人アカウントに対して、一部の高度な攻撃を防ぐためにセキュリティキーを使うことを推奨してきた。ツイッターは、二要素認証(およびセキュリティキー)の設定方法をここで説明している。
2020年7月に、ツイッターでは同社の内部ネットワークにハッカーが侵入し、「管理」ツールを悪用してジャックした著名人アカウントから暗号通貨詐欺を拡散したサイバーアタックを繰り返さないために、社員にハードウェアセキュリティキーを導入した。
事件を受けツイッターは、Rinki Sethi(リンキ・セティ)氏を新設の最高情報セキュリティ責任者として迎え、有名なハッカーである通称Mudge(未訳記事)ことPeiter Zatk(ペイター・ザットク)氏を同社のセキュリティ責任者に登用している。
関連記事:Googleの調査データが2段階認証の対ハッカー防御効果を実証
・Yubicoが最新セキュリティキー「Yubikey 5C」を発表、価格は約5800円
・Twitterの暗号通貨詐欺の元凶は内部ツールに不正アクセスした一人のハッカー
・7月に深刻なハッキングを受けたTwitterに新たな最高情報セキュリティ責任者が就任
カテゴリー:セキュリティ
タグ:Twitter
画像クレジット:TechCrunch
[原文へ]
(翻訳:Nob Takahashi / facebook)