読者です 読者をやめる 読者になる 読者になる

ktgohan blog

Raspberry Pi については http://ktgohan.hatenablog.com へどうぞ。ここではそれ以外のことを扱います。

Twitter を安全に使うためにお勧めしたいこと(1)

はじめに

ここ何日か、Twitter で自分のフォロワーさんらもこのような被害に遭う事案が増えてきています。

Twitter乗っ取りでスパム送信相次ぐ リスト型攻撃か 偽ブランド販売サイトに誘導? - ITmedia ニュース

Twitterで勝手にリツイートされる!流行中のスパムの原因・解除方法とは?

一時期猛威を振るったのが前者で、量販サイトを装ったもの(おそらく詐欺サイトでしょう)の広告を mention のかたちでばらまくタイプ、後者は以前から地味に続いている「リツイートスパム」です。

この手の被害に遭わないためにはどうするか、遭ってしまった場合にはどうするかをまとめてみました。この記事では「遭わないために」を扱います。

この手の被害に遭わないために

この手の被害に遭わないために気を付けることを3つ挙げます。

1:不要なアプリ連携はしない

Twitter には「アプリ連携」という機能があります。他のアプリから Twitter と連携するための機能で、たとえばスマートフォンのアプリと連携したり、他の Web サービスと連携したりする際に、いったん Twitter で連携のための設定をする、というものです。この連携を許可すれば、アプリからツイートしたりすることが出来ます。

が、この機能を悪用する素性の悪いアプリが後を絶ちません。「何のために連携するのか」ということを説明せずに、連携設定をさせようとするものも少なくありません。

特に「この面白そうなものの続きを読みたかったら → 設定」みたいなことをやっているものは、やめておいたほうがいいです。*1

2015/02/08 追記:

最近はこんなものも出てきました。

地獄や…

2:Twitter のパスワードは、他で使っているものを使いまわさない

最近の流行に、「リスト型攻撃」というものがあります。他のサービスで漏洩したログインID・パスワードでもって、いろんなところにログインを試すという攻撃手法です。

多くのウェブサービスは、たいていメールアドレスとパスワードでログインできるものです。ですから、どこかのウェブサービスで情報漏えいが起きた場合、その情報を手に入れた攻撃者が、それを他所のサービスへ持って行って不正なログインを試す…ということ自体は実にめずらしくありません。この手法による不正アクセスを「リスト型攻撃」「パスワードリスト攻撃」等といいます。

このリスト型攻撃、一度どこかで(ログイン情報の)情報漏えい事故が起きてしまうと、手口自体が単純な上に成功率が実に高いことから、猛威をふるい続けています。

ITpro NOW - 「リスト型攻撃」が止まらない:ITpro

「リスト攻撃」成功率が示す、「ID/パスワード使い回し」の危険:セキュリティ通信:So-netブログ

なにしろ、メールアドレスをいっぱい持っている人はそんなに多くないでしょうから、ログインIDとなるメールアドレスが必然的にあちこちのサービスで共通になることが避けがたいと思われます。なので、あとはどこかでパスワードが(ログインIDやメールアドレスとセットで)漏れた場合、結構まずいことになります。

リスト型攻撃を食らわないためにも、まずは「パスワードは他のサービスと同じものにしない」ことを心がけてください。

3:Twitter のパスワードを忘れない

実に重要なのことなのに意外に指摘している人が少ないのですが、Twitter のパスワードを忘れてしまって何かあったときに対処できない…という方が、残念ながら後を絶ちません。*2 どこか安全な場所にパスワードを書き留めた紙や手帳を保管しておくという形でもいいので、パスワードは絶対に忘れないでください。

ぜひ、二段階認証を使いましょう。

TwitterスマートフォンiOSAndroid)から使用している人は、このスマートフォンを利用した二段階認証によるログインリクエストを行うことを強くお勧めします。

これは何かというと、「普段から使っている端末やブラウザではないところからログインが試行された場合、システム側からスマートフォンTwitter アプリに『このログインをOKしていいですか』と確認しに来る機能のことです。つまり、ID・パスワードが万が一漏れてたとして、そのID・パスワードでログイン(一段階目の認証)を突破しようとしても、手許のスマートフォンでの再確認が必要(二段階目の認証が必要)になるので、比較的安全性が高くなります。

Twitterアプリを使った2段階認証の設定 | Twitterの使い方 | ぼくらのハウツーノート

実際の設定方法は、 ぼくらのハウツーノート さんのこちらをご紹介します。記事にあるのは iOS 版の説明ですが、Android 版でもだいたい同じです。

一点注意が必要なのは、この Twitter の二段階認証を行うためには、iOS または AndroidTwitter 公式アプリが必要であるということです。サードパーティのアプリでは、二段階認証の処理を行えないので留意してください。

*1:素性がよくわからないまとめサイトもどきやバイラルメディアもどきは特に。

*2:Twitter等をスマートフォンでしか使わない人も最近多いので、そうなるとPCからアクセスすることがなく、ログインするという機会自体が激減するそうで