アメリカ合衆国のカリフォルニア州サンフランシスコに本社があるツイッター社では、パスワードが暗号化されないまま内部ログに保存されるバグ（欠陥）を発見し、3億3千万人超にパスワード変更を呼びかけました。

ツイッター社内に数か月に渡り、暗号化されないまま内部ログが保存されていた状態になっていました。現在は改善されていると報告しています。

発見したバグの内容ですが、利用者がパスワードを入力時に他の数字や文字と置き換える「ハッシュ化」という技術に関係するものだとツイッター社のブログで説明しました。

ツイッター社では、内部調査によってこのバグによる不正や乱用は確認されなかったとのことです。

ツイッター社からのお願い（忠告）として、ログインする際のパスワードを他のサービスでも使用している場合は、そちらのサービスでもパスワードを変更することを警告しております。安全にサービスを利用し続けていくためには必要なことですね。

通常のパスワードと合わせて、携帯電話で６桁の数字を受け取って本人であることを認証する方法によるログインを呼びかけています。

この確認方法によって、本人であることを証明することになります。

以下、ツイッター社からのパスワード変更のお願いの案内文です。

@（アカウント名）さん、こんにちは。

Twitterアカウントのパスワードが設定されるときに、Twitterの誰もパスワードを見ることができないように、暗号化するテクノロジーを使用しています。 Twitterは最近、パスワードが暗号化されないまま内部ログに保存されるバグを発見しました。 Twitterはこのバグを修正しました。Twitterの調査では第三者による不正や乱用は確認されませんでした。

安全のために、このパスワードを使用したすべてのサービスで、パスワードを変更することをお勧めします。 パスワード設定ページから、いつでもTwitterのパスワードを変更できます。

バグについて

Twitterは、bcryptという機能を使用するハッシングと呼ばれるプロセルを通じて、パスワードを暗号化しています。bcryptは、実際のパスワードを数字と文字のランダム集合に置き換え、それがTwiterのシステムに保存されています。 これにより、Twitterのシステムは、パスワードを明らかにすることなく、アカウントログイン情報を認証できます。 これは業界標準です。

バグによって、ハッシング処理が完了する前に、パスワードが内部ログに書き込まれました。 Twitterがこのエラーを発見し、パスワードを削除し、このバグが再発することを防止する対策を講じています。

アカウントを安全に利用するために

パスワード情報がTwitterのシステムから盗まれたり、第三者によって乱用されたりしたわけではありませんが、アカウントを安全に保つためにできる対策がいくつかあります。

1 Twitterのパスワードを変更し、同じパスワードを使用している場合は、他のサービスのパスワードも変更してください。
2 他のサービスで使用していない、推測しにくいパスワードを使用してください。
3 ログイン認証（ツーファクター認証）を有効にしてください。 これがアカウントの安全性を高める最も有効な方法です。
4 パスワードマネージャーを使用して、推測されにくいパスワードをすべての場所で使用するようにしてください。

ご心配をおかけして、誠に申し訳ございません。 Twitterは利用者からの信頼の上になりたっており、その信頼を毎日勝ち取り続けられるよう尽力しています。

チームTwitter

ヘルプ | パスワードをリセット | アプリをダウンロード

これが@（アカウント名）さんに送信されました。

Twitter International Company
One Cumberland Place, Fenian Street
Dublin 2, D02 AX07 IRELAND

ジャック・ドーシー最高経営責任者（CEO）は、「社内で発生した内部ログ欠陥について公表するのは、自分たちにとって大事なことだと考えている」とツイートしました。

このようにミスや過ちを発表することによって、更なる信用や信頼関係が築かれていくことになるでしょう。

このような経営方針は見習っていかねばなりませんね。