Twitterにサイバー攻撃、25万人のユーザー個人情報に不正アクセスの可能性

　米Twitterは2月1日（現地時間）、Twitterのサーバーに対する不正なアクセスの痕跡を今週発見したと発表した。攻撃者はユーザー情報への不正アクセスを試みていた。

　調査したところ、まさに攻撃中の“生きた”プロセスも1つ発見され、すぐにプロセスを切ったものの、その後の調査により、攻撃者はおよそ25万ユーザーのメールアドレス、セッショントークン、暗号化したパスワードにアクセスした可能性があることがわかったという。不正アクセスを受けたパスワードは、暗号化した上で解析しにくくするための文字列を付加した状態でデータファイルに保存されていた。

　なお、Twitterでは2012年12月にワールドワイドでの月間アクティブユーザー数が2億人を突破したと発表していることから、25万人に該当するのは「ごく一部のユーザー」と表現している。

　Twitterではセキュリティ担保のため、該当するユーザーアカウントのパスワードをリセットし、セッショントークンを無効化した。このため、該当するアカウントのユーザーには新しいパスワードを設定するように知らせるメールを送付した。まだ届いていないユーザーにはまもなく届くだろうとしている。該当ユーザーの従来のパスワードはTwitterのログインにはすでに使えなくなっている。

　なお、Twitterでは今回不正アクセスを受けた可能性があるアカウントは全体からみるとわずかなパーセンテージではあるが、これを機会に全ユーザーにTwitterおよびTwitter以外のパスワードをより安全なものに見直すよう勧めている。

　Twitterではセキュリティ強度の高いパスワードとするため、（1）最低10文字以上を使うこと、（2）大文字と小文字、数字、記号を混在させること――を勧めている。また、複数のオンラインサービスのアカウントで同じパスワードを使うことは危険性を高めると警告。安全にTwitterを利用するためにさらに詳しい情報を知りたいユーザーにはTwitter社が用意したヘルプセンターの「アカウントの安全性を保つには」というガイドや、FTC（米国取引委員会）が今年1月3日に公開したパスワードに関するガイド（英文）に目を通すよう呼びかけている。

　Twitter社は、米国国土安全保障省やセキュリティの専門家は、ウェブブラウザー上でJavaが実行できないよう設定することを推奨していることも書き添えている。

　また、Twitter社では、今回の攻撃はアマチュアによるものではなく、攻撃は非常に高度な技術力を要する方法が使われており、単発の攻撃ではなく他の企業や組織に対してもごく最近に同様の攻撃が行われているものと信じると説明。このため、ユーザーに早期に注意を促す目的で、現在も引き続きTwitter社内で調査を勧めている段階での発表に踏み切ったという。今後、Twitterでは当局の捜査に全面的に協力していく。

　米国では、ここ数日にNew York TimesおよびWall Street Journalが、中国からのサイバー攻撃を受けたと相次いで発表。これらニュースメディアでは記者の個人情報への不正アクセスや、中国の共産党指導者への不利な報道が行われないように監視していたと推察できる動きなどがあったと発表されている。