連載
» 2018年05月22日 10時00分 公開

セキュリティ強化塾:「Twitterパスワード平文保存事件」に学ぶ、秘密保持の落とし穴 (1/3)

Twitterが「3.3億人分のパスワードが平文で保存されていた」と発表。存在していないはずの情報が存在してしまうリスクを考える。

[キーマンズネット]

  2018年5月3日、ソーシャルネットワークサービス(SNS)「Twitter」がユーザーのパスワード保存について不具合を発表した。3.3億人分のパスワードが平文で保存されていたのだ。今回は、「本来、存在していないはずの情報が存在してしまう」リスクを考えてみよう。

3.3億人分のパスワードが平文で保存されていた

 Twitterは、あまたあるSNSの中でも日本人ユーザーが多いサービスの1つだ。「平文で保存された3.3億人分のパスワード」の中に、日本人ユーザーがどれだけ含まれていたかは分からない。

 同社によれば、不具合は既に修正済みだ。また、平文で保存されたパスワードに漏えいの形跡も確認できなかった。そのため、Twitterはユーザーに対して「念のため、このパスワードを使った全てのサービスについて、パスワードの変更をご検討ください」というメッセージに留めている。

Twitterの告知 図1 Twitterの告知(出典:Twitterブログ「Keeping your account secure」)

 パスワードは、個人を認証するために必須の情報ながら、システムが保持する情報の中でもトップクラスの機微情報でもある。情報漏えいなどのリスクに対する最大の防御策は「そもそも持たない」ことになるが、これを実現するにはさまざまなハードルがある。

 そこで、パスワードはハッシュ関数などを使って符号化して保存することが一般的だ。いわば「元はパスワードだが、それ自体はパスワードではない」という状態にするわけだ。今回、Twitterが発表した不具合は、パスワードが「パスワードのまま」の状態で保存されていたという大問題だ。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。