Twitterは金曜日遅く、料金を支払わないアカウントからテキストメッセージによる2要素認証(2FA)を削除するという新しいポリシーを発表した。
Twitterはブログ投稿で、プレミアム機能「Twitter Blue」に加入しているアカウントのみがテキストメッセージベースの2要素認証を利用できると発表しました。別の2要素認証に切り替えないTwitterユーザーのアカウントは、3月20日までにこの機能が削除されます。
つまり、Twitterから携帯電話に送信されるテキストメッセージコードを使ってログインしている人は、2FAが無効になり、誰でもパスワードだけでアカウントにアクセスできるようになります。Twitterのパスワードを簡単に推測できる場合や、同じパスワードを他のサイトやサービスで使用している場合は、早急に対策を講じる必要があります。
Twitterは「Twitter上でユーザーの安全と安心を守ることに尽力している」と主張していますが、これは真実ではありません。今まさに、企業が下した最も愚かなセキュリティ上の決定の一つが、リアルタイムで展開されているのを目にしているのです。
この新しい2FAポリシーは、Platformerのゾーイ・シファー氏によって最初に明らかにされ、後にTwitterによって確認されましたが、なぜ導入されたのかは明らかではありません。イーロン・マスク氏による440億ドルの買収以来、Twitterは資金と従業員の流出が続いています。テキストメッセージの送信コストが高額であることを考えると、SMSによる2FAを廃止したのはコスト削減のためだった可能性が高いでしょう。Twitterにコメントを求めたところ、マスク氏はコミュニケーションチーム全員を解雇したとのことです。
Twitterはブログ投稿で、SMS 2FAは悪意のある人物によって悪用される可能性があると述べ、この決定を正当化しました。これは、ハッカーが携帯電話会社を欺いて被害者の電話番号をハッカーが管理するデバイスに割り当てるSIMスワップ攻撃を指している可能性があります。ハッカーは電話番号を乗っ取ることで、被害者になりすますだけでなく、被害者のオンラインアカウントへのアクセスを可能にするテキストメッセージコードを受け取ることができます。しかし、SMS 2FAをTwitter Blueの加入者のみに提供しても、有料ユーザーがSIMスワップ攻撃からより保護されるわけではありません。むしろ、有料ユーザーがSMS 2FAに頼るよう促すことで、電話番号が乗っ取られた場合にTwitterアカウントが乗っ取られる可能性が高くなります。
とはいえ、重要なのはSMS 2FAは、2FAを全く使用しないよりもアカウントの保護をはるかに強化できるということです。しかし、Twitterの新しいポリシーは、ユーザーに2FAの利用を促すためのものではありません。実際、Mailchimpのような企業は、顧客の月額料金を割引することで2FAの有効化を促すという、正反対の(しかし正しい)アプローチをとっています。
テッククランチイベント
サンフランシスコ | 2025年10月27日~29日
唯一の救いは(そう呼べるかどうかは別として)、Twitterが2FAを完全に廃止するわけではないことです。イーロン・マスクに一銭も払うことなく、強力な2FAでアカウントを守ることは可能です。
Twitter アカウントを放棄して、Mastodon などの分散型サービスに移行したかどうかに関係なく、誰かが侵入してあなたに代わってツイートし始めた場合に備えて、3 月 20 日までにアカウントを保護するための措置を講じる必要があります。
テキストメッセージで送られてくる2FAコードの代わりに、アプリベースの2FAを使う必要があります。アプリベースの2FAははるかに安全で、テキストメッセージを受信するのと同じくらい速く完了します。(多くのオンラインサイト、サービス、アプリでもアプリベースの2FAを提供しています。)テキストメッセージでスマートフォンにコードを送る代わりに、Duo、Authy、Google Authenticatorなど、スマートフォンの認証アプリを使ってコードを生成できます。コードがデバイスから外部に漏れることがないため、はるかに安全です。
設定するには、まずお使いの携帯電話に認証アプリがインストールされていることを確認してください。Twitterアカウントにアクセスし、「設定とプライバシー」 → 「セキュリティとアカウントアクセス」 → 「セキュリティ」の順に進みます。2段階認証の設定画面が表示されたら、「認証アプリ」を選択します。画面の指示に従ってください。開始時にアカウントのパスワードを入力する必要がある場合があります。完了すると、パスワードと認証アプリで生成されたコードを使ってログインできるようになります。
これはTwitterアカウントにアクセスするはるかに安全な方法であることを覚えておいてください。つまり、携帯電話を紛失した場合、アカウントへの復旧は非常に困難になる可能性があります。そのため、ロックアウトされた場合にアカウントにアクセスできるようにするバックアップコードをパスワードマネージャーに安全に保存しておくことをお勧めします。バックアップコードは、アプリベースの2FAを設定したのと同じ場所で確認できます。
2要素認証でアカウントハッキングから身を守る方法
ザック・ウィテカーはTechCrunchのセキュリティエディターです。彼はまた、毎週のサイバーセキュリティニュースレター「今週のセキュリティ」の執筆者でもあります。
Signalのzackwhittaker.1337宛ての暗号化メッセージで連絡を取ることができます。また、メールで連絡を取るか、確認したい場合は[email protected]までご連絡ください。
バイオを見る
