Twitter からパスワードリセットのお知らせが届いた

すでにニュースになっているように、Twitterが攻撃を受け「暗号化されたパスワード」が漏洩した疑いがある模様。Twitterブログ: より安全にご利用いただくためにより*1。

今週、Twitterは通常とは異なるアクセスパターンがあり、調べてみるとTwitterのユーザーデータへのアクセスのようでした。行われていた攻撃は止めたのですが、調査の結果、ユーザー名、メールアドレス、セッションIDや暗号化されたパスワードなど、約25万人のユーザー情報にアクセスされた可能性があります。

うちにもパスワードリセットのお知らせが届いた。

Twitterと関係ないサービスやウェブサイトによって、アカウントが乗っ取られている危険性が高いと判断いたしました。他の人がこのアカウントへアクセスしてしまうことを防ぐため、アカウントのパスワードをリセットしました

お手数ですが、新しいパスワードを設定してください。以下のリンクで新しいパスワードを選択できます。

ここでまず疑ったのは、「このメール自体が偽物では？」ということ。よくあるフィッシングの手口っぽいし、なんどもURLのドメインを確認したよ。

本来だとメールのリンクからではなく、Webサイトからパスワード変更するのが鉄則。だが今回は強制的にパスワードが無効化されているので、いつものブックマークからはログインできない状況（WebブラウザからはTwitterを使っていないので、セッションは残っていない）。しかたがないのでメールのURLからパスワードを変更。パスワードが漏れているかもという状況なので、「現在のパスワード」を入力するフォームはなく、新しいパスワードのみの入力だった。

こういう話は2年前のソニー PSN の個人情報漏洩と、自衛としての1Passwordの導入で経験済み。Twitterにも1Passwordで生成したランダムパスワード（本人も覚えきれない）を設定していたので、淡々とパスワードを変更しておしまい。

追記

@ockeghem さんから twitterトップ画面の『パスワードを忘れた場合はこちら』からリセットするのが正しいとの指摘をいただいた。確かにそうだ。