最近のツイッターによるスパム・乗っ取り事情とその対応策

↑ ツイッターはお手軽なツール。シンプルな手も多用される。今日も悪の手が迫る

大きく2つの被害様式、2つの悪質ツイート

以前「それはワナよ・冬休み画像トラップ式ツイッター警報発令中」などでも伝えている通り、ツイッターを用いた悪質なスパム手法の伝播とその被害は後を絶たない。最近ではこれに加えて、リスト型アカウントハッキング(他のサービスから盗取したアカウントとパスワードの組合せを総当たり的に使ってログインし、成りすまし行為を行うもの。複数のサービスで同じ組み合わせを用いていると被害に遭う)を使った方法によるものと思われる被害が確認されている。今回はその現状と対応策をまとめていく。

現在広まっている悪質なツイートにおける、ツイートする状況の種類は大きく分けると2パターン。1つが「(A)悪質な連携アプリを使って勝手に該当ツイートをしてしまう」、もう1つは「(B)リスト型アカウントハッキングでアカウントが半ば乗っ取られ、成りすましの形で勝手に該当ツイートをしてしまう」もの。さらに「(C) 最初から悪質なツイートをするために生成されたアカウントでツイートする」のもあるが、これはすぐにシステム側から凍結・削除措置をとられてしまう。

該当ツイートの内容も大別すると2通り。1つは「さらに被害を拡散させるための、連携アプリを誘導するツイート」、要は被害の仲間増やし。もう1つは「誘導したいサイトへの客引きツイート」。偽ブランド商品を購入させようとしたり、悪質なツールをインストールさせようとするもの。

↑ 悪質な偽物ブランド商品を販売するサイトへの誘導を図る悪質広告ツイート
↑ 悪質な偽物ブランド商品を販売するサイトへの誘導を図る悪質広告ツイート

アカウント保有者の意図に関わらず悪質なツイートをしてしまう場合は(A)(B)のいずれかになるが、(A)は保有者自身がアプリ連携を許諾しないと事が始まらないため、比較的容易に保有者が事態に気が付く。アプリ連携を許可したということは、直近でツイッターにアクセスをしているからだ(もっとも最近では、本来の保有者の利用状況を監視し、利用していると判断したら悪質なツイートを自動削除し、事態の発覚を遅らせるタイプもあるようだ)。

ところが(B)の場合は保有者の利用状況に関わらず乗っ取られてしまう可能性があるため、半ば放置した、休眠状態のアカウントも被害対象となる。しかも放置されたアカウントの場合、ツイッターなどにはあまり興味関心がないことから、往々にして往々にして他サービスと同じアカウント・パスワードの組合せを用いているため、被害に遭いやすい傾向がある。

↑ リスト型アカウントハッキングによって乗っ取りにあったアカウントが悪質な宣伝ツイートをしてしまった状況
↑ リスト型アカウントハッキングによって乗っ取りにあったアカウントが悪質な宣伝ツイートをしてしまった状況

これはリスト型アカウントハッキングによって乗っ取りにあったアカウントが、本来の保有者の意図とは無関係に、悪質な宣伝ツイートをしてしまった状況の一例。保有者自身によるツイートの最終日時は4年ほど前。放置状態のアカウントを乗っ取り、フォローしている人などのリストを取得して、関係する人に片っぱしから悪質なツイートをしているのが分かる。

対応策はシンプル、だが……

「(A)連携アプリで勝手にツイートしてしまう」「(B)自分以外の人がログインして勝手にツイートしてしまう」いずれの場合も対応はさほど難しくない。

まず、自分自身が妙な宣伝、悪質ツイートを勝手にしていたら(A)か(B)いずれかによる被害を受けている可能性が高いので、

1.連携アプリを確認し、身に覚えがないのは全部削除

2.パスワードを変更

3.自分のツイートを確認して広告ツイートを全削除

この順番で行う。連携アプリの確認と削除方法は、「ツイッターの公式サイトから自分のアカウントでアクセス」「(1)右上のプロフィールアイコンをクリックして『設定』を選ぶ」「(2)設定の左メニューの下側にある『アプリ連携』を選択してアプリの一覧を表示」「(3)一覧の中で身に覚えのないアプリがあれば『許可を取り消す』ボタンを押して削除」の通り。

画像
↑ 連携アプリの確認方法と削除の仕方
↑ 連携アプリの確認方法と削除の仕方

問題なのはスマートフォンなどの携帯電話で利用していた場合。ツイッターは今やスマートフォンをはじめとした携帯端末による利用が多数に及んでいるのだが、システム周りの管理はパソコンで行うことが前提となっており、連携アプリの一覧確認はスマートフォンなどからでは行えないのが現状。

そこで「スマートフォンでもパソコン向け画面でアクセスできるように「https://mobile.twitter.com/settings/change_ui」からアクセスしてログイン」し、上記のプロセスに従って確認作業を行う。万一パソコン向け画像が表示されなかったら、その携帯端末が有するウェブブラウザーの、パソコン向けサイトの表示機能を使うこと。ただしパソコン版の画像で利用を行うと操作がもたつく、表示がかなり面倒な状況になるので、注意深くアクセスすることが必要となる。

またiOS端末で利用している場合、その端末側におけるアプリ連携の確認も欠かせない。ホーム画面から「設定」「Twitter」を選ぶと一番下に「アカウントの使用を許可するAPP」が表示される。身に覚えのないアプリが入っていたら、即効削除。

備えあれば憂いなし

以上は自分自身のツイッターアカウントが被害を受けていた場合の対処法。幸いにもそのような被害を今現在は受けていなくても、将来事態に遭遇する可能性はゼロでは無い。そこで現状で考えられる、シンプルに出来る対処法をまとめておく。

1.サービス毎に異なるパスワードとIDを使う

2.不確かなリンクはクリックしない、不確かなアプリ連携は拒否する

(たとえ信頼できるアカウントのツイートでも)

3.変なツイートは公式リツイートしない

(自分がツイートしたのと同じとなる)

4.定期的に連携アプリの状態を確認する

5.捨てアカ、放置アカの整理をする

(1)は他サービスが被害を受けると、連鎖反応的な被害が生じるため。ツイッター以外でもいえること。(2)はツイッターに限らずウェブ上で操作を行う際の基本。また「信頼できるアカウントのツイートでも」というのは、そのアカウントが乗っ取られている可能性もあることに加え、悪質なツイートなのを知らずして公式リツイートしている場合もあるため(悪質系ツイートは楽しそうな画像や面白い話を用いて誘導リンクを張る場合が多い)。(3)はその裏返し。

(4)は自分自身はしたつもりが無くとも、無意識のうちに連携を許可している可能性がゼロとはいえないから(寝ぼけていたり、忙しい中でのアクセスで注意が散漫な時についやってしまうかもしれない)。(5)は自分自身にはほとんど影響は無いが、第三者への被害を考慮すると、手掛けておいた方が望ましい。

これらの事案は基本的な仕組みの組合せや応用に過ぎず、対処法も基本、あるいは原則的なものばかり。しかし被害は後を絶たず、悲劇は繰り返される。くれぐれもご注意あれ。そして備えあれば憂いなし。

※追記:

昨今の状況を悪用し「勝手に広告ツイートをする状況を解消する対策アプリを創った」と自称し、アプリの連携を誘導するツイートが確認されている。もちろんこれも悪質な連携アプリの一つでしかない。詐欺商法にかかった人に「盗られたお金を取り戻します」と近づき、さらに金をだまし取るのと手口は同じ。くれぐれも気を付けてほしい。

■関連記事:

2014年でもっとも人気のある、そして危険なパスワードは「123456」(最新)

パスワード管理方法、8.5%は「書いた紙をパソコンなどの周囲に貼る」