ゴールデンウィーク真っ只中の2018年5月4日、穏やかじゃないニュースが飛び込んできました。ツイッターが全ユーザーに対してパスワード変更を求めるような告知をしたんだそうな。これを見てパスワードを変更した方も多いと思いますが、まだだったら今すぐに変更しておく事をオススメします。だって、ツイッターが公式にパスワード変更した方が良いって言っているんですからね。ほっといて後で何かあったら全部自己責任になっちゃいますから。
パスワード流出の可能性?
米Twitterは5月2日(現地時間)、全ユーザーに対し、Twitterへのログインに使っているパスワードを変更するよう求める告知を送ったと発表した。社内システムのバグで、パスワードをプレーンテキストで保存していたことが判明したためとしている。
社内調査の結果、パスワードが外部に流出したり悪用された可能性はないが、念のため全ユーザーに通知したとしている。ジャック・ドーシーCEOは「対策済み」だとツイートした。
パラグ・アグラワルCTO(最高技術責任者)は公式ブログで、同社ではユーザーがパスワードを入力する際、「bcrypt」という強力なアルゴリズムを使ってハッシュ化しているが、今回見つかったバグで、ハッシュ化処理の前にログにプレーンテキストで保存されていたという。
何人分のパスワードがテキストとして保存されていたのか、それがいつ頃からのことなのかについては明らかにしていない。
米Reutersに「この件に詳しい人物」が語ったところによると、保存されていたパスワードはかなりの数で、数カ月そのままだったという。この人物によると、Twitterは数週間前にこれを発見し、当局に報告していたという。
普通はどこでもパスワードは暗号化されて保存していると思います。もし、暗号化していなかったら「そもそも論」としておかしなことになっちゃいますけど。
暗号化はされていたけど…
ツイッターももちろん例に漏れず暗号化されていたようですが、暗号化する前に「プレーンテキスト(つまりパスワードのそのまんま)の状態」で保存されていてっていうからちょっと困りますね。
上の文章にも記載されていますが「保存されていたパスワードはかなりの数で、数カ月そのままだったという」ということで、とにかく全ユーザー(3.3億人だって!)に変更を促すような告知をしているってことだから、発覚したのは一部でも、実のところその影響は計り知れないのかもしれませんね。
ツイッターのパスワード変更方法
別に説明するまでもないかもしれませんが、一応画像付きでツイッターのパスワードの変更手順を載せておきます。WEBでの作業を想定していますが、スマホの場合はツイッターアプリでも同じ事ができますね。
1: WEBでツイッターにアクセスし、ログインしましょう
ツイッター.comへのリンクはこちらです。または、スマホでツイッターアプリを起動します(サードパーティのアプリだと出来ない場合があります)。
2:ログインしたら、ホーム画面で自分のアイコンをタップしましょう
3:設定とプライバシーに進みましょう
4:続けて「アカウント」へ進みましょう
5:続けてパスワードへ進みましょう
6:パスワード変更画面になるので、現在のパスワードと新しいパスワードを入力しましょう
以上です。簡単ですね!チャチャっとやっちゃいましょう!
パスワード使いまわしていませんか?
ツイッターに限らず、個人情報が漏洩する事ってたまにありますよね。すごい大企業でも。ですので、もし今でも同じパスワードを使いまわしている人がいたら、すぐにでも変更した方が良いですよ。同じパスワードだったら、一個パスワードが流出したら、全部バレるって事ですからね。一緒にメールアドレスも漏れたりして、もしメールアドレスも同じのを使いまわしていたら、どれだけ影響がでる事か。。。全部だだ漏れです。怖いですね(゚o゚;;
ITの技術を使って悪い事する人たちって、本当に頭良いんですよね…
でも「いつも違うパスワードなんか思いつかないよ〜」って人も多いですよね。私もその中の1人です。で、そんな人にはパスワードをタダでいくらでも作ってくれるWEBサービスがあるので、ぜひ使ってみてくださいね。
例えば、私がよく使うのはココ
ルフトツールズ(LUFTTOOLS)のパスワード生成ツール
英数字の組み合わせや文字数などはもちろん、「似通った英数字は省く」とか「8文字以内の場合、同じ文字は2回以上使わない」ってあたりが非常に良い感じです。