ツイッター(twitter)のアカウント情報が2億件以上流出してしまっている、という事件が報じられています。
ツイッター社からの説明は少ないのですが、各所での調査により、被害の大枠については解ってきました。
そこで、今回の情報流出事件について、「事件の概要」「想定される問題(リスク)と対策」をご紹介させて頂きます。
まず、事件の概略については、「ツイッター利用者のアカウント情報が2億件以上流出し、外部の人間が確認できる場所に保存されてしまっている」というものです。
流出したツイッターのアカウント情報については、以下の5項目のようです。
・アカウント名
・ID
・メールアドレス
・フォロワー数
・アカウント作成日
幸い、パスワードなどの情報についての流出は無かったようですが、(流出した項目はともかく)件数としては、かなり酷い情報流出事件であると言えるでしょう。
もちろん、流出を無かった事にする事も出来ません。
流出してしまった原因としては、ツイッター社のシステムに、「登録されたメールアドレスや電話番号をもとに、アカウント情報を外部の人間が取得できる」という欠陥があり、その点を突かれたのではないか、と推測されています。
ただし、ツイッター社は、今回の情報流出について、自社からの流出である事を否定するコメントを出しています。
もっとも、先日の大規模な人員整理により、ツイッター社の社員数は大幅に減少しており、対応能力を疑問視する声もあります。
そして、流出した情報を外部ユーザーが付け合わせした結果、(流出した経路はともかく)ツイッターのアカウント情報が流出した事は間違いないようです。
ここからは、今回の流出によって発生する可能性がある問題と対策について、です。
今回のツイッターの情報流出によって発生する可能性のある問題(貴方が対応すべきリスク)としては、以下の5点が考えられます。
まず1点目。
貴方が匿名のツイッターアカウントを運用していた場合、そのツイッターアカウントを貴方が運用していた事がバレてしてしまうかもしれません。
理由については説明するまでもないと思いますが、メールアドレスが流出してしまっていますので、そのメールアドレスとアカウントを付け合わせる事で、
「このツイッターアカウントは、○○さんが運用していた」
という事がバレてしまう可能性があるのです。
なお、会社のメールアドレスをツイッターに登録していた社員がいた場合には、
「あのツイッターアカウントは、○○社の社員が運用していた」
という事がバレてしまい、会社の信用問題にかかわるケースもありえます(自社の社員が見るに堪えない内容の情報発信をしていた事が社外にバレてしまうケースなど)。
この為、このリスクについては、自分だけの問題ではなく、自分が所属する組織の問題として対応する事も必要となるでしょう。
なお、今回の流出によってバレてしまった分についてはどうしようもありませんが、同様の事態を防ぐ為の今後の対策としては、
・ツイッターと他のサービスで登録するメールアドレスを使い分ける
・バレて困る場合には、個人や所属する組織が特定できるようなメールアドレスではツイッターを利用しない(自社の社員に、そのような事をさせない)
といった対策が有効です。
次に2点目。
流出した情報を使って、貴方のツイッターアカウントが乗っ取られてしまう危険性があります。
今回、パスワードが流出しなかったので、このリスクを想定しない方もいらっしゃるかもしれませが、残念ながら、そうとも言えません。
まず、今回の流出で、ツイッターアカウントとメールアドレス(=ID)の紐付けが解ってしまいます。
そして、既に、ツイッター以外の会員登録情報が流出している場合(残念ながら、そのようなケースは少なくありません)、そちらでメールアドレスとパスワードの関係が解ってしまう事があります。
ですから、この2つの紐付けを組み合わせる事で、ツイッターの特定のアカウントにログインする為のメールアドレス(=ID)とパスワードの組み合わせが判明してしまう危険性があるのです。
もちろん、このリスクが健在化するのは、ツイッターと他のサービスで同じパスワードを使い回していたケースだけです。
ですから、ツイッターと他サービスで同じパスワードを使わない事で、このリスクは回避する事が可能であり、それが対策となります。
今からでも、パスワードを変更する事で、将来の乗っ取りを防げる可能性があります。
もちろん、2段階認証など、パスワードが解っただけでは乗っ取られないような対策も有効です。
3点目。
2点目のような攻撃(乗っ取り)が行われる事で、「他人のツイッターアカウントから、偽の情報が発信される可能性がある」という問題です。
重要な情報については、ツイッター以外の情報源(その組織などが運用するウェブサイトなど)で発信される情報も参照し、ダブルチェックする事が対策となります(もちろん、電話などで問い合わせする事も有効でしょう)。
このリスクは、自分のツイッターアカウントが乗っ取られなかったとしても、気をつけるべきリスクですので、ご注意下さい。
4点目。
今回流出したメールアドレスの情報を用いて、偽のメールが届く可能性があります。
もともと、メールの発信者を偽装する事は難しい事ではありません。
そして、今回、多くの「有効なメールアドレス」が流出してしまいました。
この為、攻撃者が、それらのメールアドレスを使って、迷惑メールを送信してくる危険性があります。
もっとも、これまでも、攻撃者は多くのメールアドレスを取得してきており、今回の流出で、そのリスクが特別に上がった訳ではありません。
ただ、今回の情報流出は規模が大きいですから、攻撃者が手に入れる事ができたメールアドレスの数も膨大なものとなります(政治家や日本の官公庁のメールアドレスも流出したと報じられています)。
しばらくは、従来以上に、「偽物がメールを送ってきているかもしれない」と警戒した方が良さそうです。
相手のメールが正しいかどうかを認証する仕組みが導入されていれば対策も容易ですが、届くメール全てについて、そのような対策をする事は現実的ではないでしょうから、この点については、「届くメールを疑う」以上の対策は難しいのが現実です。
最後に5点目。
不正アクセスが増加する危険性があります。
これは、主にシステムの不正利用に関係する人限定の話となりますが、メールアドレスが大量に流出した事で、それらメールアドレスを利用した不正アクセスが増加する可能性があります。
システムへのログインに必要なIDがメールアドレスとなっているシステムは多い為、今回のメールアドレスの大量流出は、システム進入を試す為のIDが大量に流出してしまった事になるからです。
パスワードが攻撃者に知られなければ問題はないのですが、他のシステムとパスワードを使い回したり、簡単なパスワードを設定している利用者がいる場合には、システムへの不正アクセスが成立してしまう可能性があります。
この問題については、「パスワードを強力なものにする」「パスワードを使い回さない」「ID/パスワード以外のログイン方式を利用する」など、従来から良く言われているものが対策として有効です。
以上が、今回のツイッターの情報流出事件の概要、想定される問題(リスク)と対策となります。
参考にして頂き、被害を最低限に抑えて頂ける事を願っております。