今週、ニューヨーク・タイムズに続いてウォールストリート・ジャーナルへの中国からのセキュリティ攻撃が明らかになり、各所でニュースになっていました。

中国ハッカー集団、米メディアを相次ぎ攻撃:日本経済新聞
NYTに続きWSJも、「中国ハッカーからサイバー攻撃を受けた」と報道:ITpro

これに続いて、今朝 Twitter も調査の結果、セキュリティ攻撃を受けた形跡があり約 25万人ユーザー情報にアクセスされた可能性があるとの発表を行いました。

今週、Twitterは通常とは異なるアクセスパターンがあり、調べてみるとTwitterのユーザーデータへのアクセスのようでした。行われていた攻撃は止めたのですが、調査の結果、ユーザー名、メールアドレス、セッションIDや暗号化されたパスワードなど、約25万人のユーザー情報にアクセスされた可能性があります。

該当するアカウントにはTwitterからパスワードのリセットをかけ、セッションIDの破棄をしました。この該当アカウントに含まれているユーザーの方々には、Twitterからパスワードの新規作成のご案内をお送りしています。ログイン時にこれまでのパスワードはご利用いただけません。

Twitterブログ: より安全にご利用いただくために

パスワードリセットのメールは順次送られているようで、私の一番古いアカウントも上記公式発表のあと、1時間くらいしてからパスワードリセットのメールが送られてきました。

一斉的なメール通知ですので、念の為に迷惑メールフォルダに Twitter からのパスワードリセットのメールが入っていないかを確認した方がいいでしょう。

また、こういう状況はフィッシング詐欺メールが横行する機会ですから、

「Twitter からのパスワードリセットのメールが本当に Twitter からのもので、リセット用ウェブページにアクセスした際に URL 欄がちゃんと twitter.com になっているか?」

を確認すべきです。


そしてパスワードリセットのメールが送られてきた人は、以下のことを行なっておきましょう。また、パスワードリセットのメールが送られて来なかった人も注意すべき点はあります。

まず、パスワードリセットのメールが送られてきた人は以下のことを行います。

  • 以下の様なメールが Twitter から送られてきています。
    twitter_hacking20130202
    ただし、パスワードのリセットは(フィッシングメールの可能性もあるので)このメールの URL をクリックせず、自分でブラウザから twitter.com を入力して開きます。そして、ユーザー名とパスワードを入力する欄の下にある「パスワードを忘れた場合はこちら」の部分をクリックします。
    twitter_hacking20130202B
    そうやってパスワード再設定ページから新しいパスワードの設定を行います。

  • 新しいパスワードを設定したのち、連携アプリを確認するかどうか利かれますので、連携アプリ認証ページを開いて、使っていない連携アプリを削除整理しておきましょう。

  • 次に、Twitter と同じパスワードを使いまわしている人は、パスワードを使いまわしていたサービス全部のパスワードを変更しておきましょう。パスワードはできるだけ同じ物を使いまわさないのはネットセキュリティ上の鉄則です。



また、今回パスワードリセットのメールが送られて来なかった、被害に遭ってない人も

  • パスワードが単純なものの場合は、より強いものに変更する
    (Twitter に限らず、パスワードは必ず数字記号を入れて、できるだけ長めのものするのは常識 ※)

  • 複数のサービスで同じパスワードを使いまわさない

  • パスワードリセット、ログインを促すメールが来た時には、URL をクリックして開いた先のページが当該サービスのものであるか、必ず URL を確認する


ことをできるだけ実践しておいたほうが良いと思います。かなり大規模セキュリティ攻撃が行われているようですので、今後他のサービスでも同様の問題が発生しないとは限りませんので。

Twitter からのアナウンスでも以下のように述べられています。

今回の攻撃に影響されたと思われるのはごく一部のユーザーの方々ですが、この機会に、Twitterユーザーすべての皆さんにTwitter(および他のインターネットサービスでも)より強いパスワードへの見直しをお願いしたいと思います。最低でも10文字、大文字と小文字、数字、記号などを混ぜたパスワードをご利用下さい。また、パスワードの使い回しは情報へのアクセスの可能性を大きくしますので、他のサービスとは同じパスワードを利用されないことをお勧めします。


また、少し前から多くのネットニュース、サイトで言及されていますが、ブラウザの Java 機能は業務上などで必要がない限り、オフにしておくべきでしょう。対策措置も完全とは言えないようですし。

Javaのセキュリティ機能は攻撃を阻止できない? セキュリティ企業が報告 - ITmedia ニュース
MozillaやApple、Javaの未解決の脆弱性に対処 Javaプラグインを無効に - ITmedia エンタープライズ



ちなみに、私も所持している Twitter アカウントの1つにパスワードリセットのメールが来ました。使っていないものも含めて 10個ほどアカウントを持っていますが、ダントツに一番古い(まだ Twitter がサービス開始されて数ヶ月目に取った)アカウントに影響があったようです。

ただ、ほぼ毎日見ているアカウントで、連携アプリも含めて特に妙なこともなく、また他サービスとのパスワードの使い回しは全くやっていませんから、該当 Twitter アカウントのパスワードをリセット→新規なものに変更して、今回は特に問題ないのではないかと思っています。

このアカウントの利用も iOS の Tweetbot アプリと Mac上の(色々と制限措置を入れた)Chrome ブラウザでしか使わないようにしているので、自分から漏れたという可能性も少ないですので、

ネットサービスを使ってる限り、必ず出逢う問題で止むを得ない


と思っています。サービス会社側が適切な対処さえしてくれれば慌てることもないし、自分が hacking されたのでなければ慌てても仕方ないことですしね。

でもまぁ、ウェブサービスの作り手側にとっては本当に厄介な時代になったというか、大変困った輩ですな。


【追記】パスワード再設定についてフィッシングメールの可能性も考慮して、メールの URL を踏まずに自分でパスワード再設定ページヘ行くように説明を変更しました。警視庁からも以下のようなツイートが流れています。