Twitter、一部ユーザーのパスワードをリセットした件で詳細を説明

文:Lance Whitney(Special to CNET News) 翻訳校正:緒方亮、長谷睦2010年02月04日 11時33分

 Twitterは米国時間2月2日に多くのユーザーに対しパスワードのリセットを行ったが、その詳細な事情が明らかになった。

 Twitterの信頼性および安全性担当ディレクターであるDel Harvey氏は、2月2日晩のブログ投稿で、Twitterが一部ユーザーのアカウントについてパスワードをリセットする事態の原因となったフィッシング攻撃は、あるTorrentサイト制作者によって行われている詐欺的行為の発見に端を発するものだと説明した。

 ある人物が過去数年間にわたり、ログインとパスワードが必要なTorrentサイトとフォーラムを構築してきたことが、Twitterの調査により判明した。この人物はその後、構築したサイトとフォーラムを、Torrentダウンロードサイトを独自に始めたいという複数の人物に売却したという。

 購入者は知らされていなかったが、売却されたサイトにはじつは脆弱性があり、サイバー詐欺をもくろむサイト作成者はこれを利用し、Twitterなどの外部サイトのログイン情報に対してアクセスを企てることが可能だった。この攻撃は、フォーラムへのログインを横取りし、サードパーティーのウェブサイトにリダイレクトさせたうえで、リダイレクト先のサイトでユーザーのログイン情報を取得するという仕組みで行われた。

 「これらのサイトにはもう少し続きがあった。システム全体に脆弱性とバックドアが存在していた」とHarvey氏は述べている。「この(サイトを作成した)人物はフォーラムやサイトが人気になるのを待ち、その後、脆弱性を利用してサイトにサインアップしたすべてのユーザーのユーザー名、電子メールのアドレス、パスワードにアクセスした」

 この攻撃についてTwitter側が警戒を始めたきっかけは、異常にフォロワー数が多いアカウントが見つかったことだった。これを受けて同社は調査を行い、最終的にはこれらの疑わしいアカウントをフォローしているユーザー全員のパスワードについて、リセットを行った。Torrentサイトは以前からあるが、このような方法を使った攻撃が見つかったのはこれが初めてだとTwitterは述べている。

 「パスワードリセットの通知を送ったユーザーすべてが該当するわけではないが、この情報を公開し、Twitterアカウントと関係のないサードパーティーによってユーザーのデータが漏れる危険性を知ってもらうことが重要だと、われわれは考えた」とHarvey氏は述べている。

 Twitterでは、サードパーティーのTorrentアカウントにサインアップしたことがある人に対し、こうしたサイトでパスワードを変更すること、さらには複数のサイトで同じアカウントを利用することを控えるよう勧めている。Twitterを安全に利用する方法については、詳細な情報がTwitterのヘルプページに掲載されている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]