ご無沙汰しております。まふゆです。
ドラゴンクエスト10のプレイヤーの多くは、Twitterを活用して情報開示等々を実施していると思います。
そこでたまに見かけるのが「Twitterが乗っ取られた!!」という書き込みですね。
定期的に「〇〇というアプリを使ったらTwitterが乗っ取られるよ!」というものもあります。
結構、この対策でデマが飛び交ったりもしますので、私のフレンドたちが、そういうことにならないために、ちょっとTwitterのセキュリティに関して記事にしておこうと思います。
真面目な記事なので、興味がなければ、ここで閉じてくださいね!
Twitterの乗っ取りパターン
「Twitterが乗っ取られた!」
と発言、これは大きく2つのパターンに分けられます。
連携してるアプリによる乗っ取り
Twitterには様々なアプリやサービスと連携する機能があります。
よく見かける質問箱や診断メーカーといったサービスがそれに該当します。
悪意をもったアプリに登録することで、自分が意図しないツイートの投稿やDMの発信、興味のない人のフォローなど、登録した際に与えた権限によって様々な行為を行われてしまうことになります。
アプリを連携する場合、必ずこのような画面が表示されます。
「このアプリケーションは次のことができます。」という項目の下に、様々な権限が書かれています。
ここに書かれている権限が、このアプリが行える権限となります。
よく見てみると、「ツイートの送信」権限がついていますね!
みなさんも、質問箱で質問を募集するツイートを見かけたことがあると思いますが、それは、この「ツイート送信」権限があるから実現している機能ということになります。
他にも、「他のアカウントをフォロー、フォロー解除する」権限や「他のアカウントをミュート、ブロック、報告する」権限もついています。
アプリによって、これらの機能を悪用することで「Twitterが乗っ取られた!」ということになるわけですね。
アカウントの乗っ取り
次は、アカウントそのものが乗っ取られてしまうというケースです。
安易なパスワードを設定していたり、その他の対策を講じていないことによって、Twitterに不正アクセスされてしまい、悪意あるツイートやDM発信等の被害を受けるというのがこちらのケースとなります。
Twitterを乗っ取られないために…
連携アプリの乗っ取り対策
連携アプリによる乗っ取りについては、不審なアプリと連携しないという予防策しかありません。
しかし、どのアプリが安全で、どのアプリが不審なのか、正直なところよく分からないのではないでしょうか。
そういう場合は、アプリの登録画面で、どの権限が渡るのかをしっかり確認して、自身で判断するしかありません。
仮に「不審なアプリを登録してしまった!」という場合は、以下の手順でアプリの権限を切って下さい。
※「〇〇というアプリを使ったらTwitterが乗っ取られるよ!」というツイートが定期的に流れてきます。その対策として「パスワード変更して!」というものもありますが、ここでいう「乗っ取り」は、連携アプリによる乗っ取りのことを指しています。なので、パスワードを変更するだけでは意味がありません。
【アプリの連携を解除する手順】
①Twitterの設定画面から、「セキュリティとアカウントアクセス」を開きます。
②「アプリとセッション」を開きます。
③「連携しているアプリ」を選択します。
④現在、連携しているアプリの一覧が出てくると思います。
人によっては、思った以上に多くのアプリが出てくるかもしれません。
この中で、不審なアプリを削除して下さい。
アプリの削除が終わったら、念のためパスワードの変更をしておきましょう。
※パスワードリセットの保護を有効にしておくことで、パスワードが勝手にリセットされることを防止することもできます。
アカウントの乗っ取り対策
連携アプリによる乗っ取りとは異なり、アカウントが乗っ取られてしまうと、多くの場合は、すぐにパスワードを変更され、本来のユーザがアクセスできないようにされてしまいます。
そのため、乗っ取られた後の対策よりも、乗っ取られないための対策が重要となります。
2要素認証
Twitterのログインは、ユーザIDとパスワードによる認証が基本となります。
そのため、その両方が悪意ある者に知られてしまうと、簡単にTwitterに不正アクセスすることができ、Twitterのアカウントが乗っ取られてしまいます。
そうならないよう、パスワードの他に、もう一つ認証方法を加えるのが「2要素認証」です。
2要素認証では、人の記憶にたよるパスワードとは異なり、その人の所有するスマホで得られる情報を使った認証となります。
ドラゴンクエスト10のユーザであれば、ワンタイムパスワードが馴染み深いですよね!
それと、同じ仕組みのものになります。
ここでは、ドラゴンクエスト10のワンタイムパスワードとしても使える「Microsoft Authenticator」を使用した2要素認証の設定方法をご紹介します。
【2要素認証の設定方法】
①「Microsoft Authenticator」をスマホにインストールする。
※すでにインストール済みの場合は不要です。
②Twitterの設定画面から、「セキュリティとアカウントアクセス」を開きます。
※PCや他のスマホがある場合は、そちらからTwitterにアクセスすると設定が少し楽になります。
③「セキュリティ」を開きます。
④「2要素認証」を開きます。
⑤「認証アプリ」にチェックを入れます。
※ショートメールが簡単でしたが、令和5年3月19日よりTwitter Blue専用となります。
⑥パスワード要求が来た場合は、パスワードを入力します。
⑦「別の端末でリンク」を開きます。
⑧PCや他のスマホでTwitterを開けるのであれば、⑩に進んで下さい。
スマホが1台しかない場合や、「Microsoft Authenticator」が入っているスマホでTwitterにアクセスしている場合は、「Can’t scan the QR code?」を開きます。
⑨赤枠部分のコードを控えます(コピーでも可)。
⑩「Microsoft Authenticator」に切り替えます。
⑪画面左上の+を開き、次の画面で「その他」を開きます。
⑫PCや別のスマホでTwitterを開いていた場合、表示されたQRコードをスキャンして⑭に進んで下さい。
スマホが1台しかない場合や、「Microsoft Authenticator」が入っているスマホでTwitterにアクセスしている場合は、「またはコードを手動で入力」を開きます。
⑬アカウント名と秘密鍵を入力する画面になります。
アカウント名は任意の名前(わかりやすい名前)を入力します。
秘密鍵には、Twitterで表示されて控えていたコードを入力します。
⑭「Microsoft Authenticator」のトップ画面にTwitterの項目が増え、ワンタイムパスワードが表示されていることを確認します。
⑮Twitterに戻り、「コードを入力」を開きます。
⑯「Microsoft Authenticator」に表示されているワンタイムパスワードを入力します。
以上で設定は完了となります。
SMSを使った2要素認証を削除してください
突然、このような画面が開いた方もいらっしゃるのではないでしょうか。
これは、Twitterの仕様変更で、SMSを使った2要素認証が令和5年3月19日に有料のTwitter Blue専用の機能になることにより、無料ユーザに登録解除を促すメッセージとなります。
このメッセージが表示されたら、忘れる前に設定を解除しておきましょう。
【設定解除方法】
①Twitterの設定画面から、「セキュリティとアカウントアクセス」を開きます。
②「セキュリティ」を開きます。
③「2要素認証」を開きます。
④「ショートメール」のチェックを外します。
セキュリティに関する部分を有料限定に変えてくるなんて、どうかしてるよ、Twitter…
コメント