企業がTwitterで恥をかかないために

次の記事

MicrosoftがNook Mediaを10億ドルで買収検討との内部資料を入手―Nookは来年Androidから他のプラットフォームへ移行か?

数週間前、AP通信のTwitterアカウントがにハッキングに遭い株価を大きく下げた時、私はショックを受けた。APという、頭のいい人たちを擁し新しいメディアへの対応にも長い歴史を持つニュース組織が、フィッシングによってハックされるという事実を私は受け入れられなかった。それはまるでバンク・オブ・アメリカが幼稚なクラッカーにハックされるようなものだ。

悲しいことに、それは繰り返し起きた。なぜか? 有難いことに、Onionの人たちが先見の明をもって、”Syrian Electronic Army” [SEA、シリア電子軍]がAPのTwitterストリームを「ハックした」時、正確に何が起きていたのかを説明してくれた。

企業のソーシャルメディアのアカウントを管理している人は必読だ。要点は以下の通り。

担当者たちには、あらゆるログインを促すリンクは送信者にかかわらず疑ってかかるよう教育を徹底すること。Twitterアカウントの登録メールアドレスは、会社の通常メールとは隔離されたシステムに置くこと。こうすることで会社のTwitterアカウントは事実上フィッシングに耐性を持つ(ただし全アカウントに強力なパスワードを設定することが前提)。あらゆるTwitter活動は、HootSuiteなどのアプリを経由して行うべきである。Twitterパスワードによるアカウントへのアクセスを制限することで、復旧に長時間を要するハッカーによる全面支配を防げる。

可能であれば、担当者全員に会社のメールシステム以外で連絡を取る方法を用意すること。Guardinのハック事件で、SEAは複数の内部メールのスクリーンショットを掲示していたが、恐らく見過ごされていたメールアドレスに侵入したものと思われる。

私は3番目の助言が最も重要だと思う。Twitterのパスワードは定期的に変更し、さらに重要なのは、決して、絶対に、ブラウザー経由でTwitterパスワードを変更するよう促すリンクをクリックしないことだ。Twitterパスワードを変更する必要のある時は、直接Twitter.comで行うか、あるいはTwitterにメールしよう。もしあなたの組織がAPかACLU(アメリカ自由人権協会)かBoston Pony And Terrier Lovers Of America Clubなら、きっと協力してくれるはずだ。

Twitter自身も、2段階認証か少なくとも誰かがパスワードを変更したらメールを送るべきだ。これは義務だ。いまやTwitterは企業コミュニケーションのためのツールであり、どこかのウェブフォーラム程度のセキュリティーでは論外だ。会社のTwitter責任者も企業ドメインから完全に独立したメールアドレスを持ち、その人物はパスワード変更ページのURLをチェックする手順を決め、すべてが適正である場合に限りパスワードを変更すべきだ。幼稚なクラッカーの目を覚ますことになるかもしれないが、殆どの「ハッカー」は、自分の技術手腕ではなく標的の愚行に頼っている。

愚かなまねはしないように。

[原文へ]

(翻訳:Nob Takahashi)