orangeitems’s diary

クラウドではたらくエンジニアの日々の感想です。

バグ発見、ツイッター利用者は要対応 パスワードの即時変更を

 f:id:orangeitems:20180504112709j:plain

 

ツイッター利用者はパスワード変更を

ツイッター社がパスワード保管についてバグが発見されたため、全利用者にパスワード変更を求めている件の詳報です。

 

www.afpbb.com

米ツイッター(Twitter)は3日、ソフトウエアの不具合により利用者のパスワードが誤って内部ログに「露出」したと発表し、利用者にパスワードの変更を呼び掛けた。

 同社は、データが流出したことを示す情報はないとした上で、念のためパスワードを変更するよう勧告している。

 

震源地はここ

この記事の情報ソースは、下記のパラグ・アグラワル(Parag Agrawal)最高技術責任者(CTO)による、ブログの投稿です。

blog.twitter.com

 

日本語翻訳

上記のドキュメントについて、周知のために日本語にて掲載します。多少の意訳を含んでいます。

あなたのアカウントを安全に保つために

@paraga 2018年5月3日(木曜日)

 

お客様のTwitterアカウントのパスワードを設定するとき、当社はそれをマスクする技術を使用しているため、社員の誰もそれを見ることはできません。当社は最近、パスワードを内部ログにマスクしないで保存するバグを発見しました。当社はバグを修正しました。当社の調査では誰かによる違反または誤用の兆候は見られません。

十分な注意が必要ですが、このパスワードを使用したすべてのサービスでパスワードを変更することを検討してください。Twitterのパスワードは、設定ページでいつでも変更できます。

 

▪️ バグについて

 

実際のパスワードをTwitterのシステムに格納されている数字と文字のランダムなセットに置き換えるbcryptという関数を使用して、ハッシュと呼ばれるプロセスでパスワードをマスクします。これにより、当社のシステムは、パスワードを漏らさずにアカウントの資格情報を検証することができます。これは業界標準です。

バグのため、パスワードはハッシュ処理を完了する前に内部ログに書き込まれました。当社はこのエラーを自分で見つけ出しパスワードを削除しこのバグが再び起きないように計画を立てています。

 

▪️ アカウントのセキュリティに関するヒント

 

今現在においてもパスワード情報がTwitterのシステムを離れたり、誰かによって悪用されたとは考えられませんが、アカウントを安全に保つためにいくつかの手順を実行することができます。

 

(1) Twitterや他のサービスで同じパスワードを使用している可能性のある場所でパスワードを変更してください。

(2) 他のWebサイトで再使用しない強力なパスワードを使用してください。

(3) 2要素認証とも呼ばれるログイン認証を有効にします。これは、アカウントのセキュリティを向上させるための最善のアクションです。

(4) パスワードマネージャを使用して、あらゆる場所で強力でユニークなパスワードを使用していることを確認してください。

 

この問題が起こったのは非常に残念です。当社はお客様の当社への信頼を認識し感謝し、また日々その信頼を得られることを約束します。

 

補足

今回の件においてリスクを一番大きく考えると、 以下のシナリオが最も現実性のあるリスクだと思います。

・平文で保管されたログを、社員の何者かが取得し、IDとパスワードを整形して保管する。その情報を第三者へ流出させる。

個人的な意見ですが、内部ログ自身は社外と切り離されていると思われますので上記の事象以外は、今のところ考えにくいと思います。ただし、ツイッター社が言っているとおり上記が発生した事実は確認されていません。念のためということになります。

 

今一度、ツイッター社の指示を整理します。

・ツイッターのパスワードをすぐ変更すること
・同じパスワードを使っている他のサービスも変更すること
・パスワード認証はそもそも危険なので、2要素認証を使ってもらいたい
・全てのサイトで2要素認証が使えるわけではないので、パスワードマネージャーなどのソフトウェアを使って管理してもらいたい。

上記の対応をお勧めします。私もできる限り実施します。

AIだ何だと言いながら、WEBサービスの認証周りについては進化が非常に遅いと思います。これを機に、私も2要素認証が使えるところは2要素認証に切り替えます。

なお、パスワードマネージャーって、こんなソフトのようですね。

 

www.trendmicro.com

あなたのかわりにパスワードを覚えて、守ります。
"パスワードマネージャー"は、あなたに代わってID/パスワードを安全に記憶するパスワード管理ツールです。
保存された情報を暗号化するだけでなく、インターネットサービスのID/パスワードのセキュリティレベルをチェックすることで、情報漏洩や金銭詐取等の被害を未然に防ぎます。
”パスワードマネージャー”にID/パスワードを預けた後は、もう覚える必要はありません。

 

これも検討しましょう。