X(旧Twitter)は、ユーザーが11月10日までにセキュリティキーを再登録しなければアカウントがロックされると発表し、当初その理由を説明しなかったため、週末にセキュリティ上の懸念を引き起こしました。
金曜日にX Safetyが出した謎めいた指示により、多くの人がセキュリティ侵害が原因だと疑いました。プラットフォームが強制的にセキュリティキーをローテーションする場合、通常はインシデント対応プロトコルを実行しているサインであり、ネットワークから攻撃者を排除し、再侵入を防ぐためです。
しかし日曜日、イーロン・マスクのSNS広報がついに重要な説明を行いました。それは、現在も使用されているtwitter.comドメインがx.comにリダイレクトされていることに関するものでした。
「明確にするために:この変更はセキュリティ上の懸念とは関係なく、Yubikeyやパスキーのみに影響します。他の2要素認証方法(認証アプリなど)には影響しません」とX Safetyは述べています。
「2要素認証方法として登録されたセキュリティキーは現在twitter.comドメインに紐付いています。セキュリティキーを再登録することでx.comに紐付けられ、Twitterドメインを廃止できるようになります。」
現在twitter.comドメインに紐付いている物理的なセキュリティキーは、ユーザーがx.comドメインから認証しようとした際には機能しません。そのため、Twitterドメインの廃止に備えて再登録が必要です。
XおよびSpaceXのセキュリティエンジニアであるクリストファー・スタンリー氏は、セキュリティコミュニティの一部から困惑した反応があったのを見て、Safetyチームに説明を出すよう依頼したと述べました。
「Twitterに登録されたキーから離れることで、ドメイン信頼のためのハック的な対応をやめられる」と彼はあるユーザーに返信しました。
「物理的なセキュリティキーは暗号的にTwitterのドメインに登録されているため、Xの下で再登録する必要があります。」
パスキー推進
パスキーの再登録が必須となったことは、Twitterドメインの終焉を示唆するだけでなく、他社も参加しているパスキー革命への同社の本格的な取り組みを示しています。
大手テック企業はすべてパスワードレスな未来に向かっています。Microsoftは以前から顧客に パスワードレス化を避ける選択肢はないと伝えており、Googleも新しい認証方法への信頼を高めるための機能追加を続けています。
パスワードは様々な手段で盗まれることがあり、しかも頻繁に盗まれています。この認証方法はフィッシングやソーシャルエンジニアリングなどの攻撃に弱いのです。
Regの読者はご存知の通り、パスキーの世界ではパスワードの代わりに物理デバイス(スマートフォンやノートパソコン)が使われ、認証が必要なオンラインサービスにアクセスします。
パスキーはこれらのアカウント攻撃をはるかに困難にし、多くの場合無効化します。
フィッシング攻撃は大幅に減少するかもしれませんが、サイバー犯罪者は常に組織に侵入する新たな方法を見つけ出します。
パスキーはソフトウェアの脆弱性問題を解決するものではありません—その分野では別途、時間をかけて取り組みが続いています—また、内部関係者の勧誘によるランサムウェアなどの攻撃も今後増加する可能性があります。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/10/27/x_passkey_reset/
