TwitterのIDとパスワードが流出したとみられる事件がありました。

『Twitterでログイン情報5万件以上が流出か　「一般ユーザーに影響ない」 - ITmedia ニュース』 http://www.itmedia.co.jp/news/articles/1205/09/news103.html

私はこのニュースを日本語でキャッチし、このように動きました。

１）情報源を探して状況を把握

pastebinのサイトを見てみると5回に分けてTwitterのIDまたはメールアドレスとパスワードらしきものが投稿されていました。

２）自分の関係の有無を判断

自分のアカウント、それと20個ほどの知人や日本人の有名人のアカウント、メールアドレスに.jpやbiglobe、niftyといったキーワードが含まれるか等を調べました。ここでどうやら流出は海外が中心である＝自分への関係はとても浅いと判断しました。

さて、２）のところでもし自分が被害にあっていたらどのようなリスクがあるのでしょうか。

自分への個人攻撃

• なりすましによりオンライン犯罪
• 犯罪告白等により自身の名誉を毀損
• 周囲との人間関係の破壊
• 他のサービスのIDやパスワードのヒントになる情報の収集（twitterの場合はDM,Facebookならば友達限定の投稿にはヒントがあるかもしれない）

知人への攻撃

• 「おもしろいサイトがあった！」等の文言により悪意のあるサイトへの誘導
• 直接的な詐欺行為「実は財布を落として…」
• IDパスワードの窃取「ちょっとパスワード教えて」

自分の所属する企業や集団への攻撃

• 「実はうちの会社がA社と合併交渉を進めていて」というデマの流布
• 意図的な炎上行為をはたらき名誉を毀損

また、上記に限らず身近な誰かが攻撃を受けていれば自分が突然悪口を言われてショックを受けたり、ウイルスを送り込まれたりということがあるかもしれません。

今回漏洩したリストのなかには.gov.brという一見すればブラジルの政府系機関が使っていそうなメールアドレスも含まれていました。仮にIDとパスワードの使い回しが行われていれば、何か重要なシステムへのアクセス権や、何か重要な情報そのものを盗まれるということがあるかもしれません。その場合には重要インフラへの物理的、サイバー的な攻撃が行われるという形で被害が発生するということも考えられます。ブラジルなので良かったですが、身近なところに置き換えて想像してみると例えば自分の上司のメールアドレスが含まれているですとか、自分が使っているWebサービスの運営者のアカウント情報が含まれているといったことを考えれば恐ろしいですね。

ということで、twitter等のソーシャルなサービスのアカウント情報の漏洩はある意味ではクレジットカード情報の漏洩よりも恐ろしいと考えています。また、クレジットカードであれば手元に本物がありますので最悪の場合にはカード発行会社の支店に行けば確実に無効化ができると思われます。身分証も提示できますし。一方でオンラインサービスのアカウント情報が漏洩して先にパスワードを変更されてしまうと、本人が本人であると言ってアカウントを凍結させることがなかなか難しいと思われます。特に大規模漏洩があった場合には自分が優先的に対応してもらえるとも限りません。

今回の事件はひとまず外国の5万件ということで落ち着きそうですが、自分はあと1日ほどは自分自身のアカウントで変なことが起きないかの監視と、自分とつながりのあるアカウントから妙な働きかけがないかには注意レベルを高めておきたいと思います。また、こういった事件があると「運営からのお知らせ」的な詐欺メールに引っかかってしまう人もいるため、便乗犯罪にも注意が必要と思います。

最後に、今日『プロメテウスの罠』を読み終えました。原発事故への対応で政府の緊張感が伝わり読み応えのある本でした。原発災害と比べるのはおかしいかもしれませんが、自分自身のソーシャルメディアのアカウントが乗っ取られた場合の対応は、時々刻々と状況が変わる上に自分自身はアカウントにログインできない中での情報収集と収束工作をすすめる必要があり、かなり苦労するのではないかと思います。（犯人にパスワードを変更されてしまう場合、自分はログイン出来ないことが多い）

皆様もお気をつけ下さい。