1. まとめトップ

【5万件以上!】Twitterのパスワード情報が大量流出【犯行手口と対策】

TwitterのユーザーIDとパスワード情報が大量に流出とのニュースがアメリカのIT系blogで発表され、Twitter社広報も調査中であるとの声明を出しています。この事件について、ハッカーの手口と対応策をまとめてみました。

更新日: 2012年05月09日

0 お気に入り 2081 view
お気に入り追加

この記事は私がまとめました

CmH2nOnさん

■現在の状況は?

Twitterは、膨大な数のアカウントパスワードおよび電子メールアドレスと思われるデータが流出した件について調査を行っている

■発覚のきっかけは?

問題となっているユーザーデータ(容量が非常に大きいので公開にはPastebinで5ページを要した)は米国時間5月7日に公開され、Airdemon.netのブログで取り上げられた。

”Pastebin”とはプログラムのソースコードなどを共有できるWebサービスのこと。

盗まれたTwitterユーザー情報を投稿した人物とその理由は不明

■Twitterのパスワードが盗まれると・・・

・本人になりすまし

過去ログが全て参照できるだけでなく、新たにつぶやくことはもちろん、友人知人にDMが送ることができる

・連携するWebサービスへのアクセス

Twitterのアカウントを使って認証できるWebサービスを勝手に使用されたり、さらには現在利用中のサービスからデータなどを盗むことも可能

→ Twitterは単なるコミュニケーションツール以上の存在、パスワード流出は非常に危険

■流出データの分析結果から分かること

貼られていたアカウントの数ですが、単純に数えると、58,978個あり、約59,000というところです。

貼られていたアカウントの数ですが、単純に数えると、58,978個あり、約59,000というところです。ところが重複がかなりあり、ユニークなID:パスワードの組み合わせだと、34,069に減少します。さらに、「同一ユーザ名でパスワードが異なる」組み合わせが6個ありました。

通常、ユーザーIDに対してパスワードは一つ

→同じID+パスワードのデータを複数回、違った時期に盗んだか?

pastebinに貼られていたユーザIDを見ると、メールアドレス形式のものと、ユーザID形式のものが混在

→犯人が盗んだデータが一つのソースではない可能性が高い

現在のtwitterのパスワードポリシーでは登録できないパスワードが大量に入っています。

現在のTwitterのパスワードポリシーとは「6文字以上」「文字種の制約はない(数字のみでも可)」「ブラックリスト辞書に載っている単語はだめ」

→ 現在のパスワードポリシー導入以前のデータも盗んでいた可能性アリ

仮に「本物のtwitterアカウント」だとしても、取得した手法・経路や、時期などがまちまちである可能性が高い

■今すぐ行うべきこと

念のため自分のアカウントがリストにないか確認するとよいでしょう。また、仮にリストになくても、自分のtwitterパスワードをこの機会に変更しておくとよいと思います

1