ツイッター社、パスワード変更を3億3000万人に求める

ツイッター社は3日、一部利用者のパスワードが暗号化されないまま自社内ネットワークで表示されるバグ（欠陥）を発見したと明らかにし、利用者3億3000万人に対して、パスワード変更を促した。

ツイッターは、内部調査の結果、自社関係者がパスワードを盗んだり悪用したりした形跡は一切ないと説明した。しかしその一方で、「念には念を重ねて」パスワードを変更するよう利用者全員に呼びかけた。

実際に何人のパスワードが影響を受けたのか、ツイッターは明らかにしていない。しかし、「相当数」の利用者のパスワードが「数カ月」にわたり、暗号化されないままツイッター社内の内部ログに保存されていたという。

社内関係者はロイター通信に対して、ツイッターはこのバグを数週間前に発見し、一部の規制当局に報告していたと明らかにした。

ジャック・ドーシー最高経営責任者（CEO）は、「アカウントのパスワードが、マスキングとハッシュ化を終える前に内部ログに書き込まれるバグを、最近見つけた。すでに修正済みで、不正や悪用を示す様子は見つかっていない。この社内欠陥について公表するのは、自分たちにとって大事なことだと考えている」とツイートした。

ツイッター社はブログで、発見したバグは、利用者の入力時にパスワードを他の数字や文字と置き換える「ハッシュ化」技術に関係するものだと説明した。このハッシュ化作業が完了しないうちにパスワードが、ツイッター社内のないログに保存されてしまっていたという。

「非常に申し訳ない」とツイッター社はブログで謝った。

同社は利用者に対して、パスワードを変更するだけでなく、 「ログイン認証（ツーファクター認証）を有効にしてください。 これがアカウントの安全性を高める最も有効な方法です」と呼びかけている。

ツイッター社のパラグ・アグラワル技術責任者（CTO）は当初、会社として今回のバグ情報を明らかにする必要はないが、公表が「正しいこと」だと考えると述べていた。アグラワル氏は後に自分の「間違い」を訂正し、「情報を共有する必要はないと言うべきではなかった。共有するべきだと、確信している。間違えた」とツイートした。

（英語記事　Twitter tells 330 million users to change their passwords）