Twitterから「アカウントが乗っ取られている可能性が高いため、パスワードをリセットした」というメールが届いていたので、フィッシングかな?と思いながらも一応調べてみたら、Twitterの公式Blogにて正式にアナウンスがされていた。
Twitterの公式Blogによるアナウンスは以下より。
今週、Twitterは通常とは異なるアクセスパターンがあり、調べてみるとTwitterのユーザーデータへのアクセスのようでした。行われていた攻撃は止めたのですが、調査の結果、ユーザー名、メールアドレス、セッションIDや暗号化されたパスワードなど、約25万人のユーザー情報にアクセスされた可能性があります。
該当するアカウントにはTwitterからパスワードのリセットをかけ、セッションIDの破棄をしました。この該当アカウントに含まれているユーザーの方々には、Twitterからパスワードの新規作成のご案内をお送りしています。ログイン時にこれまでのパスワードはご利用いただけません。
対象となったアカウント宛に届いていたメール内容は以下。
****さん、こんにちは
Twitterと関係ないサービスやウェブサイトによって、アカウントが乗っ取られている危険性が高いと判断いたしました。他の人がこのアカウントへアクセスしてしまうことを防ぐため、アカウントのパスワードをリセットしました
お手数ですが、新しいパスワードを設定してください。以下のリンクで新しいパスワードを選択できます。
https://************************これまで通り、パスワードリセットページから新パスワードの設定が可能です:。https://************************
以前使ったことのあるパスワードは避け、安全性の高いパスワード (例えば、文字や数字、記号を組み合わせたもの) を使用してください。
このメールが届いた後に確認してみると、確かに旧パスワードではログインを行う事ができず、新しくパスワードを設定する必要があった。
今のところ、別のサービスなどでのアカウント乗っ取りなどの被害は不明だけれど、Twitterと共通のID/パスワードを使っているサービスがあったら、この機会にパスワードの変更を行った方が無難かなと。
個人的には、外部に公開される情報であるユーザID(@shimajiro)とパスワードの組み合わせではなくて、ユーザIDでのログインを拒否して「メールアドレス + パスワードの組み合わせでのログインのみ可能」というようなオプション設定が出来ると「パスワードが漏洩したらアカウント乗っ取りのリスクに直結」という状態では無くなるのでありがたいのだけれど…(^ ^;
Twitterのアカウント乗っ取りとは別だけれど、Webサービスのセキュリティ向上という意味では、GoogleやDropboxのサポートしている二段階認証を設定しておく。というのは有効かなと。
Googleの二段階認証は以下より。
Googleアカウントを二段階認証に設定する方法 | shimajiro@mobiler
Dropboxの二段階認証は以下より。
Dropboxの2段階認証を設定してみた | shimajiro@mobiler