まず、パスワードリセットのメールが送られてきた人は以下のことを行います。

• 以下の様なメールが Twitter から送られてきています。
  
  ただし、パスワードのリセットは（フィッシングメールの可能性もあるので）このメールの URL をクリックせず、自分でブラウザから twitter.com を入力して開きます。そして、ユーザー名とパスワードを入力する欄の下にある「パスワードを忘れた場合はこちら」の部分をクリックします。
  
  そうやってパスワード再設定ページから新しいパスワードの設定を行います。


• 新しいパスワードを設定したのち、連携アプリを確認するかどうか利かれますので、連携アプリ認証ページを開いて、使っていない連携アプリを削除整理しておきましょう。


• 次に、Twitter と同じパスワードを使いまわしている人は、パスワードを使いまわしていたサービス全部のパスワードを変更しておきましょう。パスワードはできるだけ同じ物を使いまわさないのはネットセキュリティ上の鉄則です。

また、今回パスワードリセットのメールが送られて来なかった、被害に遭ってない人も

• パスワードが単純なものの場合は、より強いものに変更する
  （Twitter に限らず、パスワードは必ず数字記号を入れて、できるだけ長めのものするのは常識 ※）


• 複数のサービスで同じパスワードを使いまわさない


• パスワードリセット、ログインを促すメールが来た時には、URL をクリックして開いた先のページが当該サービスのものであるか、必ず URL を確認する

ことをできるだけ実践しておいたほうが良いと思います。かなり大規模セキュリティ攻撃が行われているようですので、今後他のサービスでも同様の問題が発生しないとは限りませんので。

Twitter からのアナウンスでも以下のように述べられています。

今回の攻撃に影響されたと思われるのはごく一部のユーザーの方々ですが、この機会に、Twitterユーザーすべての皆さんにTwitter（および他のインターネットサービスでも）より強いパスワードへの見直しをお願いしたいと思います。最低でも10文字、大文字と小文字、数字、記号などを混ぜたパスワードをご利用下さい。また、パスワードの使い回しは情報へのアクセスの可能性を大きくしますので、他のサービスとは同じパスワードを利用されないことをお勧めします。

また、少し前から多くのネットニュース、サイトで言及されていますが、ブラウザの Java 機能は業務上などで必要がない限り、オフにしておくべきでしょう。対策措置も完全とは言えないようですし。

■ Javaのセキュリティ機能は攻撃を阻止できない？　セキュリティ企業が報告 - ITmedia ニュース
■ MozillaやApple、Javaの未解決の脆弱性に対処　Javaプラグインを無効に - ITmedia エンタープライズ



ちなみに、私も所持している Twitter アカウントの１つにパスワードリセットのメールが来ました。使っていないものも含めて 10個ほどアカウントを持っていますが、ダントツに一番古い（まだ Twitter がサービス開始されて数ヶ月目に取った）アカウントに影響があったようです。

ただ、ほぼ毎日見ているアカウントで、連携アプリも含めて特に妙なこともなく、また他サービスとのパスワードの使い回しは全くやっていませんから、該当 Twitter アカウントのパスワードをリセット→新規なものに変更して、今回は特に問題ないのではないかと思っています。

このアカウントの利用も iOS の Tweetbot アプリと Mac上の（色々と制限措置を入れた）Chrome ブラウザでしか使わないようにしているので、自分から漏れたという可能性も少ないですので、



と思っています。サービス会社側が適切な対処さえしてくれれば慌てることもないし、自分が hacking されたのでなければ慌てても仕方ないことですしね。

でもまぁ、ウェブサービスの作り手側にとっては本当に厄介な時代になったというか、大変困った輩ですな。


【追記】パスワード再設定についてフィッシングメールの可能性も考慮して、メールの URL を踏まずに自分でパスワード再設定ページヘ行くように説明を変更しました。警視庁からも以下のようなツイートが流れています。

（Twitter社からパスワードリセットのお知らせを受信した方は、リンクを踏む前にリンク先をよく確認してください。事件に乗じたフィッシングが危惧されます。…）

— 警視庁犯罪抑止対策本部さん (@MPD_yokushi) 2013年2月2日