情報科学屋さんを目指す人のメモ

方法・手順・解説を書き残すブログ。私と同じことを繰り返さずに済むように。

Twitterに突然「アカウントを安全に保ち続けましょう」が表示される原因とパスワード変更について(2018年5月4日)

Twitter (213) パスワード (2)

本日、Twitterを開いた際に突然「アカウントを安全に保ち続けましょう」というメッセージが表示されるユーザーが増えています。現時点で全ユーザーがTwitterを利用する際に必ず表示される、という状態ではないようですが(手元でも表示されたりされなかったりします)、突然表示されて「どういう意味なのかよく分からない」となるユーザーや、「パスワードを変更した方が良いの?」と困るユーザーが増えているようです。

このメッセージが表示される原因と意味合い、パスワードの変更方法などについて説明します。

「アカウントを安全に保ち続けましょう」表示

本日2018年5月4日現在、Twitterを開いた際に突然「アカウントを安全に保ち続けましょう」という画面が表示されるユーザーが増えています。以下のような画面です:

アカウントを安全に保ち続けましょう

Twitterアカウントのパスワード設定ではマスク技術を使い、社内で誰にもわからないようにします。最近、内部ログでマスクをかけないままパスワードを保管するバグが見つかりました。そのバグは修正済みで、誰かが違反または誤用している痕跡はありません。十分な注意が必要ですので、このパスワードを使用したサービスがあれば、パスワードの変更をご検討ください。[詳細]

[設定画面に進む]
[Skip]

「詳細」ボタンのリンク先は英語の記事「Keeping your account secure」となっており、日本語で読むことはできません(日本語が用意されていない)。

表示の意味(ひとこと版)

この表示の意味を短く簡単にまとめると、「パスワードの流出を確認したわけじゃないけど、想定より危険な状態だったから、一応パスワードの変更よろしくお願いします」といった意味です。

表示の意味(詳細版)

通常、ユーザーがパスワードを入力して「ログイン」ボタンを押すと、Twitter側が持っている「正解のパスワードの情報」と照らし合わせて、入力されたパスワードが「正しい」のか「間違っている」のかを判定し、正解であればログインを成功させる、といった処理が行われます。

このとき「正解のパスワードの情報」というのは、「ユーザーが設定していたパスワードそのもの」ではなく、パスワードを加工(=マスク技術)して作った、見ても元のパスワードがさっぱり分からない「変換済みデータ」です。

このように、照合に「パスワードそのもの」を利用しないのは、重要なデータである「パスワードそのもの」をTwitter社内のどこにも保存しないことで、万が一データが盗まれたとしても悪用されにくくするためです。

もしTwitter社のデータがすべて盗まれたとしても、「変換済みデータ」は「照合にしか使えないデータ」なので、それを犯人が見たところでパスワードそのものはさっぱり分からず、「ログインには使えない」からです。

ところが今回、そのTwitter社内のどこにも保存しないはずの「パスワードそのもの」が「ログ」という形で社内に残ってしまうバグが見つかったため、この画面が表示されています。

つまり、「データを万が一盗まれても問題ない」状態から「データを万が一盗まれていたら問題がある」状態になってしまっていたというわけです。

これに伴い、Twitterのパスワードの変更や、同じパスワードを使い回していた別サービスのパスワードの変更をお願いしている、というのが今回のこのメッセージ表示の意味です。

ただしあくまで「万が一盗まれていたら問題がある」状態になっていただけであり、実際に「盗まれていた」わけではなく、よくある「パスワード流出騒ぎ」とは異なるもので、緊急性などは少し異なります(最悪の場合は、パスワードの強制リセットをしたら良いものの、今回はかなりやさしく「スキップ」ボタンまで用意されています)。

対策:パスワードを変更する

現時点でパスワードを変更するかどうかはユーザーの判断に任せられているわけですが、Twitter社がこれだけ大々的にアナウンスしている以上、Twitterのパスワードを変更することをおすすめします

また、パスワードの変更に加えて、Twitterの二要素認証を有効にしておくと、万が一パスワードを知られてしまったとしても、不正にログインされる可能性をぐっと低くすることができます。

未設定の場合は、有効にすることをおすすめします:Twitterの二要素認証設定手順(画像付き)

関連

コメント(0)

新しいコメントを投稿