2010/02/03

Twitter攻撃 まとめ

Twitter Status に公式見解に近い投稿がポストされた。

Twitterではここ数日、不審な挙動をする複数のアカウントを監視していて、その結果それらアカウントをフォローしているユーザにパスワード変更を促すことにしたらしい。
おそらく、昨日槍玉に挙がっていた @THCx もそうしたアカウントの一つなのだろう。
そして、それら不審アカウントは第三者によって乗っ盗られていたのであろう。

なぜTwitterのアカウントが乗っ盗られたかについては、日本版TechCrunchのこの記事を参照。

要するにTorrentサイト構築ソフトを購入しそのソフトのフォーラムなどにユーザ登録したサイト構築ソフトユーザのメルアド、パスワードが流出し、その情報を使って誰かがTwitterにアクセスし幾つかのアカウントの乗っ取りに成功したということ。

なので、今回Twitterからパスワードの変更を求められたユーザも、おそらく実際にパスワードが漏れたワケではないだろう。
たまたま乗っとられたアカウントをフォローしていたから念のためということで、これでだいぶ気が楽になった(笑

今回の教訓

  1. グレーなソフトには手を出さない方がよいだろう。グレーなのはそれなりな理由があるということだから。
  2. IDとパスワードを複数のサイト/サービスで使いまわすのは危険だ。
ただサービス毎にIDを変えてしまうとネットにおける自身のアイディンティティに一貫性がなくなってしまうので、ソーシャルな部分では同一ID、それ以外では適宜IDを変えてという運用が良いのかなとも思う。

[Update #1]
Twitter Japanのブログで、日本語で報告されている。