ユーザー名とパスワードのみによるシンプルな認証方式は、Twitter にはもやは不十分なものとなってしまった。

ここ数か月、Twitter は一般利用者からのみならず、AP 通信、BBC、60 Minutes といった大手企業からも乗っ取り被害の報告を受け、その対応に追われていた。Twitter が今回発表した新たなログイン方式は、その対応策の1つだ。

Twitter が採用した新たなログイン方法は「2段階認証方式」。これは Twitter アカウントへのアクセスに、従来のユーザ名/パスワードに加え、携帯電話の SMS メッセージサービスで通知される6桁の認証コードが要求されるもの。2段階認証方式は、すでに Google、Facebook、Paypal、Apple などによって採用されている。

Twitter の新認証方式は利用者のセキュリティを保護できるのか?

セキュリティ企業 Qualys の CTO である Wolfgang Kandek 氏は InternetNews.com に対し、Twitter の新認証方式について次のように述べた。

「SMS は多くの人々によって広く利用されている。また Twitter サービスの性質とも相性が良い」

だが、Kandek 氏は、今回 Twitter が導入した2段階認証方式では、複数の利用者が1つのアカウントを共有する「企業アカウント」における問題を解決できないとも語った。例えば、4月に乗っ取り被害が発生した AP 通信の Twitter アカウントも、AP 通信の多くの社員によって共有されているものだった。

OneID の CSO である Jim Fenton 氏は、新しい Twitter の認証方式に否定的だ。同氏によれば、今回の認証方式では、現実的なセキュリティ問題を解決できないと述べる。

「私は2段階認証をオンにしてみた。その後、Twitter アカウントへのログインを試みた際には、ユーザ名とパスワードの入力が要求され、入力後には SMS で6桁の数字が携帯電話に送られてきた。だが、この仕組みだけではカバーしきれない問題があることも、実際に試してみてわかった」

Fenton 氏は、Twitter アカウントにユーザ名とパスワードを入力してログインする機会自体が、あまり頻繁にはないと述べる。Web ブラウザがクッキーによって Twitter へのログイン状態を継続させているからだ。また、Twitter アプリを利用している場合には、OAuth トークンによってログイン状態が継続される。

「もしアタッカーがマルウェアを使ってブラウザのクッキーや Twitter アプリの OAuth トークンを取得できたとしたら、アタッカーたちは私の Twitter アカウントにログインできることになる」

企業における対策とは?

2段階認証方式だけでは、Twitter は十分なセキュリティを提供することはできない。特に、複数ユーザーが1つのアカウントを共有する企業アカウントの場合はそうだ。

FortiGuard でセキュリティ戦略を担当する Richard Henderson 氏は InternetNews.com に対し、企業はソーシャルメディアアカウントに対する十分なセキュリティ対策を自前で講じる必要があると述べた。

「最も重要なことは、ソーシャルメディアへの投稿専用のコンピューターを用意することだ。そのコンピューター上では、マーケティング担当者が E メールを送受信したり、日常業務を行ったりしてはならない。アタッカーによる乗っ取りの脅威を減少させるには、ソーシャルメディア投稿用の PC 上では、E メールの送受信や Web サイトの閲覧といった、マルウェアの侵入を許す操作を実施しないことだ」

Henderson 氏はまた、ソーシャルメディアへの投稿を行うコンピューターからは、不要なソフトウェアをすべて削除することも勧めている。

Sean Michael Kerner
Sean Michael Kerner は、InternetNews.com の主任編集者。