この記事は日経 xTECH登録会員限定ですが、2018年5月5日5時まではどなたでもご覧いただけます。

 米ツイッター(Twitter)は2018年5月3日(米国時間)、ユーザーに対してパスワード変更の呼びかけを開始した。同社のシステムにバグがあり、ユーザーのパスワードをハッシュ化せずにシステム内のログに記録していた。情報の流出は見つかっていないという。

 ツイッターのシステム内部ではユーザーのパスワードは、同社の社員でも閲覧できないようハッシュ関数の「Bcrypt」を使い、ランダムな数字に変換した上で保存する決まりにしていた。このようなパスワードの扱いは、セキュリティ管理として一般的なものである。しかし同社は、誤ってハッシュ化する前のパスワードをログに保存していた。

 このようなシステムのバグを発見したのは同社自身であり、パスワードの不正使用や外部への流出は見つかっていないという。だが同社はユーザーのセキュリティを保つために、ツイッターで使用しているパスワードを変更することや、同じパスワードを他のシステムでも使い回している場合に、それらも変更するよう呼びかけている。