Sponsored Contents

Twitterの最新記事

Image credit:
Save

Twitterが全利用者にパスワード変更を呼び掛け。バグで平文保存が発覚

「社外流出の証拠はありませんが、念のため」

Ittousai, @Ittousai_ej
2018年5月4日, 午前08:06 in Twitter
3336シェア
714
2428
0
194

連載

注目記事


Twitterが、バグでユーザーのログインパスワードを平文(一方向暗号化なし)のまま保存していたことを明らかにしました。

バグはすでに修正しており、現時点で社外への流出や悪用は確認できないものの、念のためTwitterのパスワードと、他サービスでも使いまわしていた場合はそちらもあわせて変更を検討するよう求めています。

Twitterはあくまで「ご検討ください」としか言っていませんが、何をどう検討すればいいのか分からないけれど不安という場合、

・Twitterのパスワードを長く推測されにくいものに変更
・同じパスワードを使いまわしていた場合、そもそも危険なので別のものに変更
・Twitterでも別サービスでも、対応していればログイン認証(二要素認証)を有効にする

ことをお勧めします。

Twitterによれば、本来はTwitter側でもユーザーパスワードそのものは分からないよう業界で標準的なBcryptを使ってハッシュ化しているはずが、バグによりハッシュ化を完了する前のパスワードが内部システムのログファイルに保存されていたことが判明したとのこと。

このバグは社外からの指摘ではなく社内で発見したもので、ログファイルも社外からはアクセスできず、社内調査ではこのパスワードの外部流出や悪用を示す証拠はなかったとされています。

何を言っているのか分からない場合、「ハッシュ関数」「パスワード」「平文保存」あたりで検索してちゃんとした基礎解説を参照してください。

極めて乱暴に説明すると、ネットでパスワード認証を使う場合、「まともなサービスならば」、万が一社内のデータが外部に漏れてもパスワードそのものまで盗られてしまわないよう、パスワードを元の文字列には復元できないけれど照合には使えるよう暗号学的に変換(ハッシュ化)した形で保存しています。

こうしておくことで、ユーザーの入力したパスワードが正しいかどうかは判定できるけれど、パスワードそのものはサービス側にも分からない、漏れても不正アクセスには使えない安全策になります。

パスワードを忘れた場合の手続きで、回復用のメールアドレスに忘れていたパスワードそのものが送られてくるのではなく、リセット用のアドレスや仮パスワードが送られてくるのはこのためです。

ただしこれはあくまでまともなサービスの場合であって、平然と元のパスワードを送ってくるサービス、ハッシュ化しないまま保存しているサービスも存在します。

こうしたところで外部流出があった場合、使えるパスワードとIDの組み合わせが第三者の手に渡ってしまいます。

さらにもしパスワードを複数のサービスで使いまわしていた場合、別のサービス側になんの欠陥も流出もなくても、よそから手に入れたパスで不正アクセスされる可能性があります。

大規模な流出騒ぎがあると、無関係なサービスでも不正アクセスが急増したり、変更を呼びかけるのはこのためです。

Twitterの今回の発表に戻ると、バグにより一時的に、この「まともでないサービス」状態になっていたことが分かりました、外部に漏れたりしたと考える理由はないけれど、万が一を考えるなら変更してください、判断の材料になるよう公表しました、との内容です。

あくまで「ご検討ください」ではあるものの、パスワードの使いまわしは全部のサービスでセキュリティが最低レベルに揃ってしまうので言語道断、二要素認証は不正アクセスが嫌ならどんなサービスでも有効にすべき、という原理原則のリマインダと考えて、改める・有効にするにこしたことはありません。

むしろ「漏れてもどうせ大したことないし」と思っていても、自分あての他人の私信やデータまで巻き添えになること、そして成りすましでマルウェア拡散や迷惑メッセージに使われてしまうことを考えると、二要素認証は基本全部有効にしましょう。してください。今からサブアカも二要素認証有効にしてきます。

関連キーワード: Twitter
3336シェア
714
2428
0
194

Sponsored Contents