Twitter乗っ取り事件の真相と対策

Twitterアカウントの乗っ取り事件


 2020年7月に、欧米の著名人を中心に多数のTwitterアカウントが乗っ取られるという事件が発生しました。この事件の詳細の解説や、乗っ取られないためにやるべき対策をまとめます。






2020年7月に起きたTwitter大規模乗っ取り事件


 まずは2020年7月に発生した大規模乗っ取り事件について、分かりやすく解説します。


被害の全容


Twitterアカウントの大規模乗っ取り


 2020年7月に、著名人のTwitterアカウントが乗っ取られ、仮想通貨の送金を促すようなツイートが行われるという事件が発生しました。


 標的となったのはオバマ前大統領やビル・ゲイツ、Amazonやテスラ、Appleなど米国を代表する著名な経営者のアカウントです。乗っ取られたアカウントからは、特定の口座に仮想通貨を送金すると、それ以上の金額を加えて新型コロナ対策に寄付するといったツイートが行われ、実際に1200万円相当以上の仮想通貨が騙し取られる被害が発生しています。


被害が大規模に及んだ理由


 今回乗っ取られたとされるアカウントは130、また乗っ取られた上で仮想通貨の送金依頼などのツイートをされてしまったアカウントが45件あるとツイッター社が公表しています。


 これほど多数の著名人・団体のアカウントが一斉に乗っ取られる被害は「前代未聞」と言えますが、従来の「乗っ取り」とは根本的に異なる攻撃手法が用いられていることが指摘されています。


 従来の乗っ取りでは個別のアカウントに対し何かを仕掛けるものでしたが、今回はTwitter社のシステムにアクセスする権限を持つツイッター社のエンジニアに対し攻撃を行い、社内のサポートチームだけが使えるツールを操作することで攻撃が行われました。つまり、Twitter社に対する攻撃と言えます。


Twitterに攻撃を仕掛けた


私たちに出来る対策は?


 今回のようにツイッター社のシステム自体に侵入されてしまうようなケースでは、ユーザーひとりひとりに出来る対策というのは「無い」と言えます。


 ですがTwitterの「乗っ取り」被害は、今回のようなツイッター社のシステムへの侵入によるものだけでなく、個別のアカウントを狙ったものが一般的です。以下で詳しく手口と対策を紹介します。


他にもある注意すべTwitter乗っ取り被害


 以前からあるTwitterアカウントの乗っ取り事例を紹介します。


ID・パスワードの流出


 TwitterアカウントにログインするにはID(メールアドレス)とパスワードが必要ですが、逆に言えばそれらが分かれば他人のアカウントにログインし、貴方ではない誰かが貴方になりすまして行動することが可能です。


 各個人が使用しているPCのウイルス感染でも起こりうる被害ですが、注意すべき点は「他のウェブサービス」からの流出です。ヤフーやAdobeなど、一度に数百万件以上のIDとパスワードが流出する事件はこれまでに何度も発生しています。


Twitterのログイン画面


 そのようにして流出したIDとパスワードは闇市場で売買されており、流通している情報を悪用することで乗っ取りが可能となる場合があります。これはTwitterアカウントに限らずリスクとして頭に入れておくべき問題です。


外部アプリとの連携による乗っ取り


 Twitterでは外部提供アプリとアカウントを連携させることが出来ますが、良からぬアプリと連携させてしまうことでアカウントが乗っ取られてしまう場合があります。


 外部提供アプリと言われてもピンと来ない人もいると思いますが、「○○メーカー」とか「○○診断」といった機能を利用する際に「連携アプリを認証」という画面が表示されることがありますが、これのことです。悪質なアプリを認証するとアカウントが乗っ取られます。


Twitterの外部提供アプリの認証画面

Twitterの外部提供アプリの認証画面

DMで届いたリンクをクリックして乗っ取られる


 過去に被害が相次いだのが、DM(ダイレクトメッセージ)で届いたURLをクリックして進んでいくと、アカウントが乗っ取られてしまうという被害です。


 この事例でも、URLをクリックした先で外部アプリとの連携を求められ、認証してしまうことでアカウントが乗っ取られます。


アカウントを乗っ取られないための対策


 乗っ取られないための対策を紹介します。


パスワードは強固なものを、使い回しはNG


 Twitterアカウントにログインする際のパスワードに注意しましょう。


 例えば誕生日など他の人から類推されやすいキーワードをパスワードとして設定していたり、あるいは数字だけのパスワードは危険です。安全なパスワードの作り方は以下の記事で解説しています。


 また、他のウェブサービスから流出したパスワードが悪用されるケースもあります。パスワードはサイトごとに違うものを設定してください。そんなこと、いちいち面倒だし覚えられないよという人におすすめの対策は上記の記事で詳しく紹介しているので参考にしてください。


 「2要素認証」を使うのも効果的です。ログインする際に、IDとパスワードを入力すると予め登録したアドレス(SMSなど)に認証コードが届き、そのコードを入力するとログイン出来ます。


詳細記事 → twitter公式 2要素認証を使う方法

外部提供アプリを使わない


 外部提供アプリは基本的に使わないことをおすすめします。使わない方が良いです。


 アカウントを乗っ取られるリスクもそうですが、外部提供アプリの中にはあなたのツイートやDMを読み込んだり等、個人情報保護の観点からも不安のあるものが多いため、セキュリティや個人情報に気を使うのであれば利用すべきではありません。


DMで届くURLをむやみにクリックしない


 TwitterのDMで届くURLはクリックしないことをおすすめします。乗っ取りに繋がるリスクもありますし、あるいはウイルス感染やフィッシング詐欺など別の被害に繋がる恐れがあります。


 知っている人からのDMについても注意が必要です。相手のアカウントが乗っ取られている可能性もあるためです。普段やり取りしていない人からのメッセージは特に注意しましょう。




関連記事



セキュリティソフト
の比較
Windowsのセキュリティソフト比較 Androidスマホ・タブレットのセキュリティソフト比較 iPhone/iPad(iOS)のセキュリティ Macのセキュリティソフト比較