2019年8月25日(日)

どのデータが一番"危険"だったのか ツイッターの個人情報流出の教訓(上)
ラック セキュリティ技術統括 専務理事 西本 逸郎

(1/3ページ)
2013/3/3 7:00
保存
共有
印刷
その他

ツイッターが2月1日に25万人にも及ぶ個人情報が流出したことを明らかにしてから、1カ月が経過した。流出した件数は、2億を超えるアカウントのうちの25万だが、同サービスのユーザーにはいくつかの影響が推測される。その後も、米フェイスブックや米マイクロソフトへのサイバー攻撃が相次ぐなか、ツイッターから流出した情報の意味と影響が及ぶ可能性を整理し、同様のサービスから情報が流出したときにユーザーが取るべき対策を提案する。

情報漏洩について報告し、パスワードの変更をユーザーに促したツイッターのブログ

情報漏洩について報告し、パスワードの変更をユーザーに促したツイッターのブログ

■なりすましも可能にするセッションIDが漏洩

ツイッター社が発表したブログによると、1月下旬に同社の利用者情報を管理する情報システムへ、通常とは異なるアクセスがあったという。「この攻撃は食い止めたものの、調査の結果、約25万人のユーザー名やメールアドレス、セッションID(通信の際に使われるユーザーを識別するためのID情報)、暗号化したパスワードなどが流出した可能性がある」という。さらに「今回の攻撃はアマチュアによるものとは考えにくく、(ツイッターだけを狙った)単体のものではなかったようだ」「攻撃を受けたであろうアカウントのパスワードなどはリセットしたが、それ以外のユーザーも、最低でも10文字、大文字と小文字、数字、記号などを混ぜた強いパスワードを使い、同じパスワードを他のサービスに使い回さないようにすべきだ」といった情報を発信した。

流出した情報は「ユーザー名やメールアドレス、セッションID、暗号化されたパスワード」というが、これら情報で何ができるのだろうか?

実はこの中でもっとも注意すべき情報は、セッションIDだった。流出したセッションIDを悪用すると、悪意を持つ第三者が本来のユーザーになりすまして投稿をしたり、ほかのユーザーと直接メッセージをやり取りする「ダイレクトメッセージ」を使ったり、非公開の登録者情報を閲覧、変更したりできるようになるからだ。

ツイッターは事件発覚後速やかにセッションIDを破壊したとしており、この問題が大きく発展する可能性は低いように見える。ただし既に第三者が秘密のメッセージなどを大量かつ迅速に収集していたとすると、あとになってから問題が顕在化する可能性がある。

  • 1
  • 2
  • 3
  • 次へ
保存
共有
印刷
その他

電子版トップ



[PR]

日本経済新聞社の関連サイト

日経IDの関連サイト

日本経済新聞 関連情報

新しい日経電子版のお知らせ

より使いやすく、よりビジュアルに!日経電子版はデザインやページ構成を全面的に見直します。まず新たなトップページをご覧いただけます。

※もとの電子版にもすぐ戻れます。