「パスワード漏えいはない」 ユニクロのTwitter連携“行列”サイト、登録者のIDリスト公開される事態に対処
ユニクロのTwitter連動キャンペーン「UNIQLO LUCKY LINE」で、登録者のTwitter IDなどを一覧にしたテキストファイルがWeb公開されていたことが分かり、「パスワードも漏れているのでは」と不安が高まったが、ユニクロは「パスワードは漏えいしていない」と発表した。
ユニクロが5月24日にスタートしたTwitter連動キャンペーン「UNIQLO LUCKY LINE」で、登録者のTwitter IDやつぶやきを一覧表にしたテキストファイルがWeb公開されていたことが分かり、「Twitterのパスワードも漏れているのでは」とユーザーの間で不安が高まった。ユニクロは26日、「パスワード漏えいの事実はない」と発表。一覧表ファイルをWebから削除するなど対処を進めている。
UNIQLO LUCKY LINEは、Twitterアカウントとパスワードを登録し、つぶやきを入力すると、人間や動物などのアバターが登場、ユーザーの代理として店舗への行列に並ぶと同時に、つぶやきをTwitterに送信するというもの。並んでいるアバターからは吹き出しが現れ、Twitterのユーザー名やアイコン、入力したつぶやきが表示される。25日午後6時までにで9万人以上が利用している。
24日夕方ごろ、UNIQLO LUCKY LINEに登録したユーザーのTwitter IDやつぶやきを一覧表にしたテキストファイルがWeb公開されているとネットユーザーが指摘。「パスワードも漏れているのでは」とユーザーの間で不安が高まった。
ユニクロによると、テキストファイルに書かれていたのはTwitterのID、ユーザー名、アイコン画像パス、つぶやき文言、アバターの服装データ、つぶやいた日時、行列参加日時、行列番号で、それぞれ公開されている情報。パスワードはTwitterと通信する場合のみ利用し、データベースに保存しておらず、「パスワード漏えいの事実はない」という。
同サービスはパスワードを暗号化していないのではという指摘もあり、Twitterが推奨している比較的セキュアな認証方式・OAuth認証も利用していない。同社はセキュリティ体制についてなど「調査を続けていく」としている。UNIQLO LUCKY LINEのサービスは予定通り続ける。
関連記事
- Twitter、BASIC認証を6月末に終了 OAuthとxAuthのみに
米Twitterは、TwitterのAPIのBASIC認証を6月末に終了する。OAuthかxAuthのみにし、セキュリティを強化する狙い。 
「OAuth」とは 日本のユーザー襲った“Twitterスパム”の正体
ユーザーのアカウントを踏み台にし、スパムDM(ダイレクトメッセージ)を大量にまき散らす――Twitterで出回った「MobsterWorld」のスパムDMは、「OAuth」を悪用したものだった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.