Twitter からパスワードリセットのお知らせが届いた
すでにニュースになっているように、Twitterが攻撃を受け「暗号化されたパスワード」が漏洩した疑いがある模様。Twitterブログ: より安全にご利用いただくためにより*1。
今週、Twitterは通常とは異なるアクセスパターンがあり、調べてみるとTwitterのユーザーデータへのアクセスのようでした。行われていた攻撃は止めたのですが、調査の結果、ユーザー名、メールアドレス、セッションIDや暗号化されたパスワードなど、約25万人のユーザー情報にアクセスされた可能性があります。
うちにもパスワードリセットのお知らせが届いた。
Twitterと関係ないサービスやウェブサイトによって、アカウントが乗っ取られている危険性が高いと判断いたしました。他の人がこのアカウントへアクセスしてしまうことを防ぐため、アカウントのパスワードをリセットしました
お手数ですが、新しいパスワードを設定してください。以下のリンクで新しいパスワードを選択できます。
ここでまず疑ったのは、「このメール自体が偽物では?」ということ。よくあるフィッシングの手口っぽいし、なんどもURLのドメインを確認したよ。
本来だとメールのリンクからではなく、Webサイトからパスワード変更するのが鉄則。だが今回は強制的にパスワードが無効化されているので、いつものブックマークからはログインできない状況(WebブラウザからはTwitterを使っていないので、セッションは残っていない)。しかたがないのでメールのURLからパスワードを変更。パスワードが漏れているかもという状況なので、「現在のパスワード」を入力するフォームはなく、新しいパスワードのみの入力だった。
こういう話は2年前のソニー PSN の個人情報漏洩と、自衛としての1Passwordの導入で経験済み。Twitterにも1Passwordで生成したランダムパスワード(本人も覚えきれない)を設定していたので、淡々とパスワードを変更しておしまい。
追記
@ockeghem さんから twitterトップ画面の『パスワードを忘れた場合はこちら』からリセットするのが正しいとの指摘をいただいた。確かにそうだ。