Twitterは米国時間2月2日に多くのユーザーに対しパスワードのリセットを行ったが、その詳細な事情が明らかになった。
Twitterの信頼性および安全性担当ディレクターであるDel Harvey氏は、2月2日晩のブログ投稿で、Twitterが一部ユーザーのアカウントについてパスワードをリセットする事態の原因となったフィッシング攻撃は、あるTorrentサイト制作者によって行われている詐欺的行為の発見に端を発するものだと説明した。
ある人物が過去数年間にわたり、ログインとパスワードが必要なTorrentサイトとフォーラムを構築してきたことが、Twitterの調査により判明した。この人物はその後、構築したサイトとフォーラムを、Torrentダウンロードサイトを独自に始めたいという複数の人物に売却したという。
購入者は知らされていなかったが、売却されたサイトにはじつは脆弱性があり、サイバー詐欺をもくろむサイト作成者はこれを利用し、Twitterなどの外部サイトのログイン情報に対してアクセスを企てることが可能だった。この攻撃は、フォーラムへのログインを横取りし、サードパーティーのウェブサイトにリダイレクトさせたうえで、リダイレクト先のサイトでユーザーのログイン情報を取得するという仕組みで行われた。
「これらのサイトにはもう少し続きがあった。システム全体に脆弱性とバックドアが存在していた」とHarvey氏は述べている。「この(サイトを作成した)人物はフォーラムやサイトが人気になるのを待ち、その後、脆弱性を利用してサイトにサインアップしたすべてのユーザーのユーザー名、電子メールのアドレス、パスワードにアクセスした」
この攻撃についてTwitter側が警戒を始めたきっかけは、異常にフォロワー数が多いアカウントが見つかったことだった。これを受けて同社は調査を行い、最終的にはこれらの疑わしいアカウントをフォローしているユーザー全員のパスワードについて、リセットを行った。Torrentサイトは以前からあるが、このような方法を使った攻撃が見つかったのはこれが初めてだとTwitterは述べている。
「パスワードリセットの通知を送ったユーザーすべてが該当するわけではないが、この情報を公開し、Twitterアカウントと関係のないサードパーティーによってユーザーのデータが漏れる危険性を知ってもらうことが重要だと、われわれは考えた」とHarvey氏は述べている。
Twitterでは、サードパーティーのTorrentアカウントにサインアップしたことがある人に対し、こうしたサイトでパスワードを変更すること、さらには複数のサイトで同じアカウントを利用することを控えるよう勧めている。Twitterを安全に利用する方法については、詳細な情報がTwitterのヘルプページに掲載されている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」