FTCとTwitter、セキュリティ事件めぐる問題で和解

2009年にTwitterで発生したセキュリティ事件について、「個人情報の保護を怠ることによって消費者を欺き、そのプライバシーを危険にさらした」とFTCが批判した。

[ITmedia]

　米連邦取引委員会（FTC）は6月24日、2009年にTwitterで起きたセキュリティ問題をめぐり、同社との間で和解合意が成立したと発表した。「Twitterは個人情報の保護を怠ることによって消費者を欺き、そのプライバシーを危険にさらした」と批判している。

　FTCによれば、Twitterは「情報セキュリティの重大な不備」が原因で攻撃者に管理権限を取得されたという。ユーザーの個人情報や非公開ツイートに不正アクセスされたり、オバマ大統領やFox Newsなどのアカウントから偽のツイートが送信されたりした。

　具体的には2009年1月に、攻撃者が自動パスワード推定ツールを使ってTwitterのログインページに総当たりを試みる方法でTwitterの管理者権限を取得した。管理者パスワードが一般用語を使った弱いものだったため、攻撃者はこのパスワードを使って多数のユーザーのパスワードをリセットし、一部の非公開ツイートをWebに公開したり、米大統領に就任する直前のバラク・オバマ氏などのアカウントを乗っ取って偽ツイートを送信したりした。

　同年4月には従業員の電子メールアカウントがハッキングされて管理者パスワードが推定され、ユーザーのパスワードがリセットされたり個人情報などにアクセスされる事件が起きた。

　こうした事件が起きたのは、「Twitterが管理者権限の不正取得を防ぐための責任ある措置を取らなかったため」だとFTCは指摘している。和解条件として、セキュリティやプライバシーに関して消費者に誤解を与えないこと、包括的な情報セキュリティプログラムを確立し、第三者に検証させることをTwitterに約束させた。

　FTCの発表を受けてTwitterは24日のブログで、2009年前半に起きた2件のセキュリティ問題は、まだ従業員が50人足らずだった時に発生したもので、同社は攻撃の被害者だと弁明した。

　同社によると、1月の事件では45件、4月には10件のアカウントが不正アクセスされたが、1月の事件では数時間後にセキュリティホールをふさぎ、4月の事件ではハッキングされてから18分で管理者権限を取り戻したという。いずれも影響を受けたのは「少数のユーザー」であり、アカウントの持ち主には連絡したとしている。FTCの勧告については既に多くを実装済みだと強調した。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら