番外編 05.Twitter乗っ取りとその対策

AllArticles ExtraEdition

令和3年12月29日

読者様へ

株式会社 如月工務店

 

平素は格別のお引き立てを賜り,厚く御礼申し上げます.

 

こんにちは,如月工務店です.

今回はTwitterの乗っ取りとその対策について解説します.

たまたまフォロワーさんの中に "いわゆる" 乗っ取りに遭われた方がいらっしゃったので,それを例に,Twitterアプリ開発者,webサイト運営者としての知識を活用して解説します.

 

1.乗っ取りの区分

乗っ取りにも区分があります. 一般的に乗っ取りといえば,アカウントのパスワードなどが他人に勝手に変更され,元の所有者が使えなくなることを指します. この対策は,2段階認証等 他の人が解説し尽くしているため,ここでは書きません.

 

2.Twitterにおける乗っ取り

次に "Twitterにおける" 乗っ取りを解説します. Twitterにおける乗っ取りは,上記の乗っ取りはあまりなく,"連携アプリによるもの" です. あまり詳しく確認せずにTwitterのアプリ連携することで "知らないツイートを勝手にされる","フォロワーへ勝手にDMされる" といった迷惑行為をされるわけです.

つまり,"自分で連携したアプリに乗っ取られる" わけです. 自業自得ですね. アプリ連携する際は,しっかり確認しましょう.

 

3.最近話題の乗っ取りアプリとその解説

最近話題の乗っ取りアプリは "Sebep" というものです. ご自身のアカウントで連携していないか,確認して下さい. ちなみに,連携アプリのサイトリンクは "https://m.ztney.com/#BST" というもの(開く際は注意して下さい).  このアプリはDMを使い,このサイトのURLを拡散する形でアプリ利用者を増やそうとするものです. 何のためにこのアプリを使用するのかは不明です. ある程度アプリ利用者を増やした上で,同じツイートをさせるかもしれませんし,もっと他のことかもしれません.

先程,DMにURLを送る,ということを言いましたが,上記のリンクを直接送りつけるのではなく,"http://l.instagram.com/?{TwitterID}_{乱数,2~3桁}_{乱数,19桁,TwitterIDと紐付け}={乱数,英数を含む(16進数?),32桁}&e={乱数,英字,大文字英字を含む,72桁}&s=1&s=1&u=http%3A%2F%2Fbusiness.instagram.com%2Fmicro_site%2Furl%2F%3Fevent_type%3Dclick%26site%3Digb%26destination%3Dhttps%253A%252F%252Fwww.facebook.com%252Fads%252Fig_redirect%252F%253Fd%253DAd-9UUpXVqVLNUx_LYaKZeKek5oYlWjoEdXwzKgPbUE9qRpf4p77ahkKJVJ0kuzPpFtsCo6iNW3tiZLDTY2LPR4xCa63d0ycYdTB4uq9n11GSU2h81N4csFuuiw8b0crQB08jWUYW08n1cc2LujG0j00JXW6R7_-_xEeAwWPs56HHv7PQhgj6ktkhSEU5AhwI8vAMSgikxz8VtJ4JiQRzIjL%2526a%253D1%2526hash%253DAd9_0TyBjc1n8sHe" なるクソ長いURLを送りつけてくれます. (中の人は3アカウント,計5件も送られてきたため,それらを元にこの規則を見つけました. 同じアカウントに送られてきても,乱数部は異なっていました.) "l.instagram.com" から "business.instagram.com" へ,その上 "www.facebook.com" に飛んでいるようです. そして "www.facebook.com" から例のサイトに飛んでいると思われます. 中の人はインスタグラムやフェイスブックを使ったことがないのですが,インスタグラムは,"*.instagram.com/*" 形式で,フェイスブックは"facebook.com/*" 形式で,外部サイトに飛ばせる機能があるのでしょうか? (Twitterには,"t.co/*" という独自の短縮URLを持っていますが,"*.twitter.com/*" という形式でTwitter以外のサイトに飛ばせるシステムはないと思います)

webサイト管理者としての忠告は,このリンクは送られてきても踏まない方がいい,ということです. アプリ連携をしなくても,好ましくありません. といいますのも,webサイト運営者からは,webサイト訪問者の位置がある程度わかるからです. 市区町村単位でわかります. 先程のリンクをには,"TwitterID" が含まれています. つまり,リンクを踏んだTwitterユーザが,どの市区町村に居るのかがわかる可能性があるのです. リンクを踏む際は,Torなどで発信源を秘匿することをオススメします.

 

4.対策

これまで特定のアプリによる乗っ取り方法のみ解説していましたが,本題はここからです.

1.権限を確認する

アプリ開発者が設定できる権限は "Read","Read and write","Read and write and Direct message" の3種類です. 他にメールアドレスの要求もできます.
つまり3×2で6通りの権限が要求できます.f:id:kisaragi_komuten:20211229133451p:plain
それぞれのユーザーの承認別画面は↓(全6通りのうち,4通りのみを表示しています)

f:id:kisaragi_komuten:20211229133632p:plain
f:id:kisaragi_komuten:20211229133700p:plain
Read, Read and email
f:id:kisaragi_komuten:20211229133721p:plain
f:id:kisaragi_komuten:20211229133752p:plain
Read and write and email, Read and write and Direct message and email

2.怪しい権限

DM関連とメールアドレス要求はかなり怪しいです. 質問箱等のアプリでフォロー関連のものが表示されるのは構わないのですが,上記のようにDMは独立した権限なので,DMを要求するのはDMでなにかしようとしていると思われます.
また,メールアドレスについても同様で,他の権限のためにメールアドレスの要求をする必要はありません. 上ではほとんどすべてにメールアドレスを要求していますが,必要ありません.

 

最近多発しているDM乗っ取りは,DMの権限を要求しています. メールアドレスは要求していませんでした.

 

5.まとめ

Twitterのアプリ連携はしっかりと要求している権限を確認してから連携しましょう. 上記のように,DMやメールアドレスを要求してくるアプリには特に注意して下さい. もちろん,"Peing" や "マシュマロ" のように,質問が届いたことを知らせるためにメールアドレスを要求するアプリもあります. メールアドレスを要求するためには,アプリの説明の下に "プライバシーポリシー" と "利用規約" が必ずありますので,しっかり読まれることをオススメします.

 

今回はここまで. 約1ヶ月ぶりの投稿になり,申し訳なかったです. そしてこの記事は約3000字の超大作(当社比)になってしまいました. 申し訳ないです.

今年の記事はこれにて終了. 次回をお楽しみに!

謹白