「Twitterパスワード平文保存事件」に学ぶ、秘密保持の落とし穴：セキュリティ強化塾（1/3 ページ）

Twitterが「3.3億人分のパスワードが平文で保存されていた」と発表。存在していないはずの情報が存在してしまうリスクを考える。

[キーマンズネット]

　 2018年5月3日、ソーシャルネットワークサービス（SNS）「Twitter」がユーザーのパスワード保存について不具合を発表した。3.3億人分のパスワードが平文で保存されていたのだ。今回は、「本来、存在していないはずの情報が存在してしまう」リスクを考えてみよう。

3.3億人分のパスワードが平文で保存されていた

　Twitterは、あまたあるSNSの中でも日本人ユーザーが多いサービスの1つだ。「平文で保存された3.3億人分のパスワード」の中に、日本人ユーザーがどれだけ含まれていたかは分からない。

　同社によれば、不具合は既に修正済みだ。また、平文で保存されたパスワードに漏えいの形跡も確認できなかった。そのため、Twitterはユーザーに対して「念のため、このパスワードを使った全てのサービスについて、パスワードの変更をご検討ください」というメッセージに留めている。

図1 Twitterの告知（出典：Twitterブログ「Keeping your account secure」）

　パスワードは、個人を認証するために必須の情報ながら、システムが保持する情報の中でもトップクラスの機微情報でもある。情報漏えいなどのリスクに対する最大の防御策は「そもそも持たない」ことになるが、これを実現するにはさまざまなハードルがある。

　そこで、パスワードはハッシュ関数などを使って符号化して保存することが一般的だ。いわば「元はパスワードだが、それ自体はパスワードではない」という状態にするわけだ。今回、Twitterが発表した不具合は、パスワードが「パスワードのまま」の状態で保存されていたという大問題だ。