要注意!Twitter乗っ取りの手口と対策!

みなさん、こんにちは。まふゆです。

本当は、ドラクエの軌跡シリーズを書き進めようと思っていましたが、あまりにTwitterのDMでアカウントを乗っ取るという手口が流行しているので、その手口を調べて、対策をお伝えします!

今回も、真面目モードで行きます!

その前に…

よければぽちっと押してください!
 
【注意】本文中に表示されているURLにはアクセスしないでください。
安易にアクセスして何らかの被害にあわれても、責任は負いかねますのでアクセスする場合は自己責任でお願いします。
 

Twitter乗っ取りの手口

アカウントを守るには、攻撃の手口をしっかりと理解しておかなければなりません。今回の手口は、TwitterのDMが届くところから始まります。まずはこちらを御覧ください。f:id:mahuyu_rakugaki:20200713213234p:plainカーソルを合わせて表示されるリンクも、同じアドレスが表示されますので、少なくともリンクの偽装はされていません。はじめの部分も「https://」で始まっているため、セキュリティ上も問題なさそうですね。さて…この、https://I[.]instagram[.]com/ というアドレス、実はInstagramのアドレスで間違いありません。
問題は後半部分です。塗りつぶしているため、見えないとは思いますが、ここに英数字がたくさん並んでいます。実は、ここで、特定のURLに転送するよう、細工されているのです。
怪しいサイトとすぐにばれないように、複数の正規サイト(今回はFacebook)を経由して、目的のサイトに到達します。何度か試しましたが、到達するサイトのアドレスは複数あるものの、表示されるサイトは同じでしたので、悪意をもって作られたサイトであることが予想できます。
ただ、このサイトはTwitterと連動するアプリを提供している「てい」で運営されていますので、なかなか不正なサイトとして、ブロックするのが難しくなっています。(診断メーカー等も同じ原理です) 
さて、転送されてからしばらく待つと、お待ちかねのTwitterとの連携認証が来ます。ここで連携認証をしてしまうと、乗っ取りの被害にあうという仕組みです。
 

Twitter乗っ取りの仕組み

まずは、こちらのTwitterとの連携認証の画面をよく見てください。
 
f:id:mahuyu_rakugaki:20200713220813p:plain
 
さて、重要そうなところをマーキングしました。アプリが他のアカウントをフォローしたり、フォローを解除する権限、プロフィールやアカウントの設定を変更する権限、ミュートやブロック、報告する権限、DMを送信、確認、管理、削除する権限…果たして必要でしょうか?
特に、アカウントの設定を変更する権限をアプリが有するということは、そのアプリを使えば、アカウントを好きなように変更できる…つまり、ユーザ名やパスワードを勝手に変更できる権利を得るということです。
このサイトに限らず、この項目を要求するアプリは、ほぼ乗っ取りを目的としていると考えられるのではないでしょうか。

連携認証をしてしまった(乗っ取られてしまった)ら…

ここまでの手口をご確認いただけると分かる通り、今回の手口は、アカウントに不正ログインして乗っ取るわけではありません。
アプリの連携機能を使用し、Twitterの外部からアカウントを乗っ取るという手口です。
そのため、慌ててパスワードを変更して一安心…というわけにはいきません。
パスワードを変更しても、アカウントは連携されたままですので、外部から操作すれば、いつでも乗っ取ることが可能となっています。
この攻撃の対処方法としては、まず、アプリの連携認証を解除してください。
手順は、以下の通りです。
Twitterの設定画面を開き、アカウント→アプリとセッションの順に開きます。

f:id:mahuyu_rakugaki:20200713222052p:plain

ここに連携しているアプリが一覧表示されますので、不要なアプリ、怪しいアプリの連携を解除してください。次に、パスワードが変更されている可能性も考えられますので、念の為パスワードを変更してください。

 

乗っ取りの被害にあわないために…

大切なTwitterアカウントが乗っ取られないため、セキュリティ対策を講じることをおすすめします。

1.アプリの連携を行う場合は、連携する機能をしっかり確認する。

少しでも怪しいアプリは連携するのをやめておきましょう。

2.2要素認証を活用する

設定→アカウント→セキュリティから2要素認証を設定することができます。2要素認証は、IDとパスワードの他に、パスワード以外の認証を加えることで、不正ログインされにくくする認証方法です。ドラゴンクエスト10のワンタイムパスワードでおなじみですね!

3.怪しいURLはタップ(クリック)しない

今回は、アプリの連携を行わなければ乗っ取られない仕組みでしたが、中には、アクセスするだけで、脆弱性と言われるセキュリティの穴を突いて不正にアクセスする方法も存在します。

そのため、いくら仲のいいフォロワーさんであっても、URLをタップ(クリック)するときは、本当に大丈夫か、念には念を入れるようにしましょう。

 

みなさまが、不正アクセスにあわないことを、切に願っています。

 

よければぽちっと押してください!
 
Pocket
LINEで送る

コメント

  1. 良く、アイドルとかで乗っ取られたって主張がありますが…ホントなん?( ゚Д゚)
    前にサブ垢が乗っ取られて、装備品売られて真っ裸だったサブ…。
    運営に戻してもらえましたが…。
    たまに中国でログインしました?ってGoogleから連絡とか来てたなぁ…。

タイトルとURLをコピーしました