ライフハッカー［日本版］

Photo by Jan Leenders

Twitterがフィシング攻撃を受けた可能性があるとして、一部ユーザーのパスワードをリセットしましたね。

つぶやきやニュースで見聞きした方も多いだろうと思います。このパスワードリセットに関するお知らせにアップされた詳しい経緯によると、当該ユーザーらはBitTorrentが絡んだフィッシング詐欺によって、ユーザーIDやパスワードを盗まれている可能性が高いそうです。

ログインとパスワードが必要なTorrentサイトやフォーラムを作った何者かがバックドアを仕掛けたうえで売り渡し、ユーザーのログイン情報を横取りしていた恐れがあるとのこと。この件を取り上げたメディアサイトCNET Japanの記事をかいつまんで紹介しましょう：

この攻撃は、フォーラムへのログインを横取りし、サードパーティーのウェブサイトにリダイレクトさせたうえで、リダイレクト先のサイトでユーザーのログイン情報を取得するという仕組みで行われた。この（サイトを作成した）人物は、構築したサイトとフォーラムを、ダウンロードサイトを独自に始めたいという複数の人物に売却したという。

購入者は知らされていなかったが、システム全体に脆弱性とバックドアが存在していた。この人物はフォーラムやサイトが人気になるのを待ち、その後、脆弱性を利用してサイトにサインアップしたすべてのユーザーのユーザー名、電子メールのアドレス、パスワードにアクセスした。サイト作成者はこれを利用し、Twitterなどの外部サイトのログイン情報に対してアクセスを企てることが可能だった。

ニワンゴが行った「ネットリスク」に対する意識調査では、7割以上のユーザが同一パスワードを使い回しているという結果になりました。

使いまわしによる危険性はかねてから指摘されていましたが、今回改めて、Twitter側は複数のWebサイト(サービス)で同じログインID・パスワードを利用しないよう注意を促しています。手始めにパスワード チェッカーであなたのパスワードが安全かどうか、チェックしてみてはいかがでしょう。
　

いざ変えるとなった場合、英語が解読可能でしたら、日本版の過去記事だけでなく米lifehackerの記事｢複雑なパスワードを設定するコツ｣｢パスワードの管理方法｣も参考にしてくださいね。日本人には思いつきにくいアイデアがあるかも知れません。

Reason #4132 for Changing Your Password [Twitter Status Blog via TechCrunch]

Adam Pash（原文／訳：kiki）
　

平成22年度【春期】【秋期】 情報セキュリティスペシャリスト
試験によくでる午前・午後問題集