昨日(米国時間6/7)午後、Twitter侵入の噂が流れ始めた。もちろんTwitterで。セキュリティー研究者らは、パスワードを変更し、二要素認証を有効にするようユーザーに警告した。二要素認証とは、信頼できる端末に送られた暗証コードを使ってログインの個人認証を行うものだ。
しかし噂は間違っていた ― 少なくとも部分的に。数百万人分のTwitterハンドルとパスワードが闇サイトで売りに出されたものの、Twitterは侵入被害を受けなかった。データを掲載したLeakedSourceは、ログイン情報はマルウェアを使って収集されたものと推察しており、Twitter自身のセキュリティーチームもこの説を支持している。
「問題のTwitter ユーザー名とパスワードは、他の最近の侵入で得た情報と、あらゆるサイトのパスワードを盗むマルウェアの情報とを組み合わせたものかもしれない」とTwitterの情報セキュリティー責任者、Michael Coatesがこの件に関するブログ記事に書いた。
Twitterは、自社ユーザーのアカウントを保護するために比較的すばやく動いた ― 今日(米国時間6/9)情報が漏洩したユーザー全員に対して強制的にパスワードをリセットした。
Twitterは大量のパスワードをネットでばらまかれたソーシャルメディア会社として最新の被害者だ ― 5月には、Myspaceの個人情報3.6億人分やLinkedInの認証情報1億人分が売りに出された。
Wiredのインタビューで、ユーザーのログイン情報を売っているハッカーの一人は、当初は特定個人のアカウントをターゲットにするスパム業者等に直接売り込み、その後公開販売したと話した。その人物はWiredに、LinkedInのデータだけで約2万ドルになったと話した。
Coatesによると、Twitterrは他サイトから盗まれたデータを調ベ、Twitter自身の記録と相互チェックしてどのアカウントが脆弱かを検証し、強制パスワードリセット等の特別な保護対策を実施している。
「犯人は公開されたユーザー名、メールアドレス、パスワードデータ等を探し、自動化システムによってこのログインデータとパスワードをあらゆる有名ウェブサイトでテストしようとした。同じユーザー名とパスワードを複数サイトで使っている人は、アカウントを自動的に乗っ取られた可能性がある」とCoatesは書いている。
Twitterは位置情報、使用端末、ログイン履歴等の不自然な行動を監視することによって、脆弱なユーザーを保護している、とCoatesは言った。
さらにCoatesは、Twitterアカウントのものされているパスワードの一部は正しくないことも指摘した。一部のハッカーは「古い盗難データをまとめたり、複数の侵入データからアカウントを構成して、ウェブサイト Xのログイン情報とパスワードだと称して販売している」と彼は説明した。
Twitterは、二要素認証、強力で他と異なるパスワード、およびパスワードマネージャーを使ってアカウントの安全を保つことを推奨している。
[原文へ]
(翻訳:Nob Takahashi / facebook)
