Twitterで起きた「2要素認証が使えない」問題とは何だったのか：Twitterの「2要素認証」（2FA）障害とは【前編】

イーロン・マスク氏によるTwitter社買収の翌月、エンドユーザーから「Twitter」の2要素認証（2FA）の問題について報告が相次いだ。何が起こったのかを整理する。

[Alexander Culafi，TechTarget]

　「2要素認証（2FA）に必要な認証コードをSMS（ショートメッセージサービス）で受け取れない」。2022年11月半ば、Twitter社の同名短文投稿サイトの2FAについて、エンドユーザーからこうした報告が挙がった。

　この問題が明らかになった2022年11月14日（米国時間、以下同じ）、Twitter社のイーロン・マスクCEO（最高経営責任者）が、「ブロートウェア」を排除する旨のツイート（投稿）をしていた。ブロートウェア（Bloatware）とは、利用されないのにコンピュータリソースを占有するソフトウェアを指す。

　マスク氏は2022年10月27日、同氏によるTwitter社買収の完了を受けて、同社の経営トップに就いた。Twitterの2FAを巡って何があったのか。

Twitterの2要素認証に何が起きたのか

併せて読みたいお薦め記事

Twitterはさまざまな問題を抱えている

• マスク氏は“もうかるTwitter”を実現できるのか
• 「Twitterは危険だ」と納得させられてしまう理由

　マスク氏のツイート後、「2FAが機能していない」という、Twitterユーザーからの苦情が相次いだ。米TechTargetは2022年11月15日の朝、新しいTwitterアカウントを作成して2FAを試してみたが、認証コードのSMSを受け取ることはなかった。一方で既存のTwitterアカウントへのログインの際は、2FAに成功した。Twitterは2FAの障害について発生を認めておらず、米TechTargetのコメント要請にも応じなかった。

　多要素認証（MFA）の技術開発を手掛けるTwilioのセキュリティディレクター、イアン・コールドウォーター氏は、2022年11月14日のツイートで今回の問題を解説。SMSで認証コードを配信するTwitterのマイクロサービス（独立して動作する小規模サービス）が壊れており、デバイスの紛失や機種変更時に2FAを可能にするためのバックアップコードも機能していない可能性があると指摘した。

　Twitterのマイクロサービスを無効にする計画をマスク氏が実行したら、数日以内に大規模な障害が発生しかねない――。Twitter社でエンジニアを務めるスヨン・ハン氏は2022年11月14日、こうした趣旨のツイートをした。

---

　後編は、Twitterのセキュリティを巡る動きを紹介する。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。