Leaked Sourceのスクリーンショット
うわさのもとはLeaked Source

最近、著名人がTwitter上で相次ぎ「のっとり」の被害に遭い、さらに「約3,000万件ものパスワードが流出した」とのうわさが広まっている。Twitterは6月10日、すでにパスワードをリセットするなど対策を施したと公式発表した。

著名人が相次ぎ被害

6月に入って、Twitter上では大企業の経営者から人気歌手まで、相次ぎのっとりの被害に遭い、世間を騒がせていた。

原因は、サイバー犯罪者がどこからか盗み取った大量のIDとパスワードが「ダークウェブ」と呼ばれる闇市場で流通したためらしい。もっとも標的はTwitterだけではなく、5月には「Myspace」「LinkedIn」なども被害に遭っている。

いったい犯罪者がどこからパスワードなどを盗んだかというと、どうやらTwitterが厳重に管理するデータベースなどでは、ないもよう。

手口についてはいくつか、有力な推測が出ている。まずTwitterを使っている人の機器にウイルスを感染させる方法。あるいは多くの人が複数のアプリケーションで同じパスワードを使い回している点に注目し、盗み出した別のアプリのパスワードを、Twitterにも試すといった方法。さらにそれらの組み合わせだ。

ただTwitterは、漏洩(ろうえい)元がどこであろうとも、闇市場などで流通している盗難パスワードを調ベ、被害にあっていそうな人を特定し、パスワードのリセットなどの対策を実施したという。

自衛は大事

Twitterはあらためて自衛策も案内している。

ログイン時に普段使っているスマートフォンに確認の通知が届く2段階(2要素)認証を使うのはもちろん、アプリごとに別々の、他人に推測しにくいパスワードを設定すること。たくさんのパスワードを覚えにくければ「1Password」「LastPass」といったパスワード管理アプリを使えばよい。

Twitterは言及していないが、過去に自分が使っていたアプリを忘れたり、放置したりしないことも大事だろう。例えば今回のっとり被害にあった人のうち、Facebookの創業者であるMark Zuckerberg(マーク・ザッカーバーグ)氏は2012年以来、Twitterで発言をしていない。あまり使っていなかったに違いない。Twitterが推奨する2段階認証は2013年の正式導入だが、果たして設定していただろうか。

マーク・ザッカーバーグのTwitterスクリーンショット
マーク・ザッカーバーグは2012年からTwitterを更新していない

もう使わないアプリはきちんと退会の手続きをしておくか、そうもゆかないのであれば、定期的に状態を確認すべきだろう。数年さわらないでいるあいだに、サイバー犯罪者も、セキュリティを守る側も、ともに技術を進歩させているのだから。