Twitterから大量のパスワードが流出

2016年6月10日

みんなTwitterが好きです。誰も彼もみんな、ではないかもしれませんが、それでも毎月3億1,000万人もの利用者がこの短文投稿サイトを訪れています。そして今、3億1,000万人の利用者は、Twitterのパスワードの変更を考えなければなりません。「123456」のような危険なパスワードを使っているから、ではありません。3億7,900万件のTwitterアカウントとそのパスワードの入ったデータベースが、ダークネットで売買されているからです(英語記事)。

twitter-passwords-leak-featured

「占星術師たちは、流出の月を宣言した。流出の数は、倍増した」。私の言わんとすることは、おわかりでしょう。1億1,700万人分のLinkedInアカウントに関する発表があった直後、今度はMySpaceとTumblrから大量のアカウントが流出し、続いて1億件のVK.comアカウントの漏えい事件が発覚しました。これらの流出事件に関与するハッカー、Tessa88は、3億7,900万人分のTwitterアカウントを保有していると主張しています。これらのアカウントは、わずか10 Bitcoin(約5,280ドル)で販売されています。

3億7,900万という数はTwitterの月間利用者数より少し多いように見えますが、LeakedSourceによる分析では(英語記事)、実際のアカウント数はユニーク数にして3,200万強となっています。3,200万件でも、十分大きな数値です。

LeakedSourceは、今回の流出事件で責められるべきはTwitterでなく利用者だ、と考えています。データベースの中のパスワードは平文で保存されており、Twitterがハッキングされたようには見えません。LeakedSourceは、Twitterがパスワードを平文で保存するはずはないとしています。

そうであれば、これらのパスワードは、おそらく何らかのマルウェアに感染したブラウザーから盗まれたのでしょう。このマルウェアが、認証情報を盗めるだけ盗んでいるのです。そう、マルウェアというものは、大切な人の写真を暗号化したり病院を脅迫したりするばかりではありません。膨大な量の認証情報を集めもするのです。

それでは、対策です。Twitterを使っているなら、以下を実践してください:

  1. パスワードを変更しましょう。今すぐに!
  2. 「123456789」などの簡単なパスワードは、NGです。ところがLeakedSourceによると、今回流出したデータベースの中で32,775ものアカウントが、まさにこのパスワードを使っていました。
    Kaspersky Labでは、強力で、しかも覚えやすいパスワードの作り方をご紹介しています。さらに、パスワードチェッカーでは、どんな組み合わせが強固なのかを確かめることができます。パスワードチェッカーは無料ですし、データが保存されることはありません。強力なパスワードを作る際の参考として活用してください。
  3. 他のアカウントでTwitterと同じパスワードを使い回していましたか?その場合は、そのアカウントのパスワード変更もお忘れなく。つい最近、ザッカーバーグ氏のTwitterアカウントが盗まれたばかりです。ハッカーは、LinkedInから流出したデータの中に同氏のメールアドレスとパスワードを見つけました。そして、驚くべきことに、Twitterでも同じアドレスとパスワードを使っていたのです。この話は、パスワードを使い回してはならないことを教えてくれました。
  4. 優秀なセキュリティ製品をインストールしましょう。データを盗むマルウェアからも保護してくれますから、今回のような流出事件で大切なアカウントのデータが漏洩することはないでしょう。