ユーザーはそれぞれのアカウントごとに異なるまったくランダムな文字列などとうてい記憶できるものではない。こうして個別に見れば理屈ではそこそこ安全なサービスも、ユーザーがすべてのアカウントに同じパスワードを使い始めることによって安全性はたちまち危殆に瀕することになる。

Twitterのハッカーとのコンタクトに成功―攻撃手口の詳細が判明した

最近読んだこの記事の内容が興味深かったので、昨日アンケートをやってみました。

今回は Twitter に条件を絞ってやってみました。Twitter というのは「今何してる?」をつぶやくだけのサービスで、金銭のやりとりはありませんし、ついついセキュリティ意識が低くなってしまうと思ったからです。ところが、Twitter のアカウント名とパスワードを入力させるような外部サービスもあり (例えば TweetStats)、「今何してる?」ぐらいの情報しかないから、ということで安易に入力してしまったりします。

前置きはこれぐらいにして、アンケート結果をまとめてみたいと思います。

アンケートには200人の方が答えてくれました。どうもありがとうございました。

「メインのメール」と「メインではないけれど重要なメール」で分けたつもりでしたが、回答傾向がみごとに被ったので、もしかしたら混同されてしまったのかもしれません。とりあえず「メインのメール」での回答を集計します。

200人中、「Twitter を使っていない、ウェブメールをメインで使っていない、私は Bot です、など。」以外に答えた人は156人でした。最初からこの項目は無視して、他の4つだけ集計するつもりでした。

他の4つの回答

• Twitter とメインのメールアカウントで、ユーザー名だけ同じものを使っている (いたことがある)
• Twitter とメインのメールアカウントで、パスワードだけ同じものを使っている (いたことがある)
• Twitter とメインのメールアカウントで、ユーザー名、パスワード共に同じものを使っている (いたことがある)
• Twitter とメインのメールアカウントで、ユーザー名、パスワード共に同じものを使っていない (いたことはない)

これらは、Twitter もメールも使っている人の母集団と考えてよいと思います。

それらの回答者数を156で割った割合をグラフにしました。

まあ基本的なことですけど、「ユーザー名、パスワード共に同じ」と「パスワードだけ同じ」だった27%の人で、もし外部サービスに Twitter のユーザー名とパスワードを入力しちゃった人は、たぶんメールのほうのパスワードを変えたほうがいいと思います。(どのメールを使ってるかは、あまり関係ないと思います。攻撃する気があるなら Gmail も hotmail も Yahoo mail も全部試すはずですから)

「パスワードだけ同じ」の人は、多少マシかもしれませんが、もし類推できるようなユーザー名の場合や、メールアドレスを別の場所で公開した場合は同じように危いと思います。

他の人はまあたぶん大丈夫だと思いますね。「ユーザー名だけ同じ」が22%、という数字が無作為スパムメール業者には役に立つ数字かもしれません。あと、よくある「秘密の質問」の答えを知らない間につぶやいちゃってるかもしれません。そういう場合は要注意です。冒頭の記事からもう一つ引用しときます。

実際のパスワードが分からなくてもペットの名前を知ればパスワードが手に入ってしまうというのは攻撃側にとって非常に有利な仕組みである。パスワードを推測する場合、その候補は何千万もあるのに、秘密の質問の答えの候補はほんの数十しかない。

Twitterのハッカーとのコンタクトに成功―攻撃手口の詳細が判明した

Twitter のようなサービスに、安易に大事なアカウントと同じユーザー名やパスワードを使うのはやめたほうがいいんじゃないかと思います。