イーロン・マスクのソーシャルネットワーク「X」の人気は続いている。世界一の富豪であるマスクが買収した当時、大幅な人員削減が行われたにもかかわらず、旧称(少なくとも筆者の頭の中では今も)Twitterは、想像されたほどにはサイバーセキュリティ関連のニュースを賑わせていない。現在、ペイパル(PayPal)の利用者、ワードプレス(WordPress)サイトの運営者、さらにはラストパス(LastPass)のパスワードマネージャーの顧客までもが脅威アクターの標的になっているとの警告が出ている中では、これは良いことだ。しかし、Xのユーザーは、旧Twitterのセキュリティ設定に関する変更を行わない限り、11月10日からアカウントにアクセスできなくなると警告された。以下に知っておくべきことを記す。
Xのセーフティチームがアカウントロックの警告とその説明を発表、しかし混乱が広がる
XであれTwitterであれ、このSNSがセキュリティ脅威と無縁というわけではない。本年だけでも、DDoS攻撃が原因とされるサービス停止や、6億5000万人のXユーザーに対してパスワードを変更しないよう警告した件について報じてきた。
またときには、セキュリティ上の脅威は社内から生じることがある。Xのセーフティチームが米国時間10月24日に次のように投稿した件がまさにそれだ。「米国時間11月10日以降、セキュリティキーの再登録を行っていない場合、アカウントは次の対応を取るまでロックされます:再登録する、別の二要素認証(2FA)方法を選ぶ、または2FAを使用しないことを選択する」。ここでいうセキュリティキーとは、パスワード代わりに利用できる物理的な認証用デバイスを指す。
After November 10, if you haven’t re-enrolled a security key, your account will be locked until you: re-enroll; choose a different 2FA method; or elect not to use 2FA (but we always recommend you use 2FA to protect your account!).
— Safety (@Safety) October 24, 2025advertisement
予想どおりと言ってよいが、この発表はSNS上の一般ユーザーとセキュリティ専門家の双方に懸念の波を生んだ。2FAを使わないことを選んだ場合でも自分のアカウントは有効なままなのか、セキュリティ侵害が発生したのか、これはパスキーの利用者だけに影響するのか、といった質問が寄せられた。
混乱の原因は、Xが「二要素認証の方法としてセキュリティキーを使用しているすべてのアカウントは、Xへのアクセスを継続するためにキーを再登録する必要がある」と警告し、さらに「既存のセキュリティキーを再登録するか、新しいキーを登録できる」と付け加えた点にあった。これは、物事を理解している人が、理解していない人にも伝わるように話す術を知らない典型例だ。テクノロジー用語を平易な言葉に翻訳する能力は不可欠だが、今回Xのセーフティチームはそのスキルをどこかに置き忘れてしまったようだ。
セキュリティキー(YubiKey)とパスキーを登録している人は、x.comドメイン向けの再登録が必要
Xが言うべきだったこと、そして翌日に実際に言わざるを得なくなったことは次のとおりだ。「わかりやすくお伝えします:この変更はセキュリティ上の懸念とは無関係です。影響を受けるのはセキュリティキーのYubiKey(ユビキー)とパスキーのみで、他の二要素認証手段(認証アプリなど)は対象外です。二要素認証の手段として登録されたセキュリティキーは現在、twitter.comドメインに紐づいています。セキュリティキーを再登録することでx.comに紐づけられるようになり、私たちはTwitterドメインを廃止できるようになります。該当するユーザーには、再登録を自動的に促すプロンプトが表示されます」。
To clarify: this change is not related to any security concern, and only impacts Yubikeys and passkeys - not other 2FA methods (such as authenticator apps). Security keys enrolled as a 2FA method are currently tied to the twitter[.]com domain. Re-enrolling your security key will… https://t.co/PlXOTnNXPM
— Safety (@Safety) October 26, 2025
