Twitterのパスワード流出問題、根本原因はユーザーの使い回し

[ITmedia]

　米Twitterは一部ユーザーにパスワードの変更を促した背景について、Statusページに詳しい経緯を掲載した。ユーザーのパスワードの使い回しが原因で、別のサイトから流出したパスワードを使ってTwitterにログインされたと説明している。

　発端は、特定のアカウントのフォロワーが、2月2日までの5日間で突如激増したことだった。Twitterは状況から判断して、この不審なユーザーをフォローしているアカウントについて、パスワードを強制的にリセットすることが最善だとして判断したという。

　パスワード流出の原因になったとみられるのは、特定の人物が数年前に開設した複数の共有サイトと、共有サイトの利用に関するフォーラムサイトだった。これらサイトでは利用者にユーザー名とパスワードを入力させており、その後、この人物はこれらサイトを悪意のない別の相手に売り渡した。

　だが、これらサイトにはあらゆる部分に脆弱性を突くコードやバックドアが仕掛けてあった。最初の人物は、サイトの利用者が増えたところでこの仕掛けを使い、登録ユーザー全員のユーザー名と電子メールアドレス、パスワードを入手した。こうして得た情報を使い、Twitterなど共有サイトとは無関係のサイトでアクセスを試みたとみられる。

　Twitterでは「この手口に使われた共有サイトやフォーラムをすべて突き止められていないが、問題はユーザーが複数のサイトで同じメールアドレスやパスワードを使い回していることにある」と指摘。パスワードリセットの対象となったユーザーから事情を聴く中で、フォーラムサイトやダウンロードサイトを使ったことがあるユーザーと、今回影響を受けたアカウントのユーザーとの間に高い相関関係があることが分かったとしている。

　「ユーザーは無関係のサイトから情報が盗まれる可能性があることを認識してほしい」とTwitterは主張し、サービスごとに別々のパスワードを設定するよう強く勧めている。

関連ホワイトペーパー

パスワード | ハッキング

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら