メニュー ホーム

米ツイッターの個人情報流出事件とソーシャルメディアの危険性について

米ツイッターが、25万人にも及ぶ個人情報が流出したことを2013年2月1日に明らかにしました。
流出した件数は、2億を超えるアカウントのうちの25万ですが、同サービスのユーザーにはいくつかの影響が推測されます。

ツイッター社が発表したブログによると、13年1月下旬に同社の利用者情報を管理する情報システムへ、通常とは異なるアクセスがあったといいます。

「この攻撃は食い止めたものの、調査の結果、約25万人のユーザー名やメールアドレス、セッションID、暗号化したパスワードなどが流出した可能性があるということです。

さらに
「今回の攻撃はアマチュアによるものとは考えにくく、ツイッター単体を狙ったものではなかったようだ」
「攻撃を受けたであろうアカウントのパスワードなどはリセットしたが、それ以外のユーザーも、最低でも10文字、大文字と小文字、数字、記号などを混ぜた強いパスワードを使い、同じパスワードを他のサービスに使いまわさないようにすべきだ」
といった情報を発信しました。


流出した情報は「ユーザー名やメールアドレス」「セッションID」「暗号化されたパスワード」というが、これらの情報で何ができるのでしょうか。

実はこの中でもっとも注意すべき情報はセッションIDです。
流出したセッションID悪用すると、悪意を持つ第三者が本来のユーザーになりすました投稿をしたり、ほかのユーザーと直接メッセージをやり取りするダイレクトメッセージを使ったり、非公開の登録情報を閲覧、変更したりできるようになってしまうのです。

ツイッターは事件発覚後、速やかにセッションIDを破壊したとしており、この問題が大きく発展する可能性は低いように見えます。
ただし既に第三者が秘密のメッセージなどを大量に収集していたとすると、あとになってから問題が顕在化する可能性もあります。

もう1つ大きな懸念は、漏洩したユーザー名とメールアドレスがひも付けされることで、個人を特定できてしまうことです。
フェイスブックとは異なり、もともと実名での登録が前提とはなっていないツイッターでは、匿名IDを使った投稿が可能でした。
ところが犯人が、盗んだユーザーIDとメールアドレスの組み合わせを外部にさらすことで、匿名だったユーザー名とメールアドレスがひも付けされ、個人を特定されてしまいます。


そして、今回流出した情報には「暗号化されたパスワード」が含まれています。
もしこの暗号が簡単に解けるとすると、大きな影響が出る可能性があります。
現実的に暗号が解けるかどうかツイッターがどの程度の強度で暗号化していたかによりますが、どちらにしろユーザーはツイッターに登録していたパスワードを速やかに変更するべきでしょう。

というのは最近、フェイスブックやツイッターなどのアカウント情報を利用してログインするソーシャルログインを使ったサイトが増えているからです。
もしツイッターのユーザーIDとパスワードが盗まれたとすると、そのアカウント情報に依存しているサイトにもなりすましの危険が及びます。

もうひとつ注意すべきなのは、ツイッターと同じIDやメールアドレスとパスワードをほかのサービスにも使いまわしているユーザーです。
その場合、あるサイトでアカウント情報が流出すると、同じ組み合わせを使うほかのサイトにも流用されて同様にログインされる危険があるのです。

これらのことから、ツイッターのようなソーシャルログインに利用されるアカウントは特に個人情報流出に気をくばるとともに、何もなくても定期的にパスワードを変更する、他のサイトとログイン情報を同じにしない、など個人でできるセキュリティ対策に力を入れたほうがいいでしょう。

また、今回ツイッターは発生した事件に関する情報を誠意をもって公開し、速やかな対策をしたと思われますが、星の数をほどあるサイトにはこのような不祥事を公開せずユーザーが知らず知らずのうちに被害をうけていることも考えられます。
個人情報を登録するようなサイトではそのことを考えたうえで利用しないといけませんね。



カテゴリー:役に立つ話

better

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です