Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

Twitterはパスワード定期的変更推し?

engadgetの5月4日記事にTwitterがやらかした件が書かれていました。

japanese.engadget.com

Twitterが、バグでユーザーのログインパスワードを平文(一方向暗号化なし)のまま保存していたことを明らかにしました。

(engadget記事より引用)

 

◆キタきつねの所感

パスワード平文で保存とはTwitterもやりますね・・・と思ったら意図しないパスワードがログに残ってました、というオチでした。

 

Twitterによれば、本来はTwitter側でもユーザーパスワードそのものは分からないよう業界で標準的なBcryptを使ってハッシュ化しているはずが、バグによりハッシュ化を完了する前のパスワードが内部システムのログファイルに保存されていたことが判明したとのこと。

このバグは社外からの指摘ではなく社内で発見したもので、ログファイルも社外からはアクセスできず、社内調査ではこのパスワードの外部流出や悪用を示す証拠はなかったとされています。

(engadget記事より引用)

分野が違いますが、私の専門のPCI DSS系でも「カード情報が変なログに残っていて、そこに不正アクセスを受けてカード情報が漏えい」という事件があったのは(まだその潜在リスクを残している加盟店が多いかも知れませんが)よく耳にしていました。

管理するログが膨大だと、テストの際のテストログをレビューする時以降は、あまり変なログが出ているかどうか見てない実装企業が多いかも知れません。ある意味それは、何かあったときの証跡のためにログを惰性で残しているだけと言えます。決してそれが間違っているとは言いませんが、個人情報、カード情報だと、漏えい事件が怖いこのご時勢、定期的にそうしたミスが無いかツール検索してしまった方が良いのではないでしょうか。恐らく手動では大きな組織では見つけようとしても事故があるまで見つけられない可能性の方が高い気がします。

余談が過ぎましたが、Twitterのパスワード漏えい事件は以前もありました。2016年には3200万件分のアカウント情報がDark Webに出ています。しかし調査の結果、他サイトとのパスワード使いまわしが原因と結論づけられましたが。

news.mynavi.jp

今回は、全ユーザに念のためのパスワード変更を・・・とありますので、影響範囲は3.3億人。。。皆さんにパスを変えろというより、自社から漏えいしてないかどうかもっと徹底的に調べるべきでは?と思ったのですが、そこでふと気づきました。

 

コレ・・Twitterのパスワード定期的変更への呼び水なのでは!?

 

今回と同じ手法で、「内部でミスを見つけたので、全ユーザさんパスワード変更して下さい」と年に1回位発表し続ければ、パスワードの定期的変更をTwitterは推している事になりませんでしょうか?

 

あるいは、記事では別に推していた2要素認証の普及を狙って・・・FIDO推しなのかも知れません。

fidoalliance.org

 

 

SNSが表示されたスマートフォンのイラスト(炎上)

 

更新履歴

  • 2018年5月6日PM(予約投稿)