TwitterやFacebookなどSNS(ソーシャルネットワーキングサービス)で、本人が知らない間に偽の商品広告が投稿される被害が多発している。その投稿を目にしたコミュニティの友人知人を偽の通販サイトへ誘導する手口で、商品が届かないなどの被害が発生しているという。また、アダルトサイトへ誘導されて高額の架空請求を受ける被害も報告されている(注1)。パスワード流出によるアカウント乗っ取りと、アプリ連携によるアカウント機能の部分的乗っ取りが原因と考えられ、その対策をまとめた。
<INDEX>
■成りすましによる不正投稿が絶えないTwitter、Facebook
■甘いパスワード管理が原因で起きる「アカウント乗っ取り」
■安易な「アプリ連携」が原因で起きる「部分的乗っ取り」
■「乗っ取り発覚後、直ちにするべき対策
・パスワードの変更 ・アプリ連携の解除 ・ログインできない時の対処法
■乗っ取りを防ぐ「二段階認証」活用を
<以下本文>
■成りすましによる不正投稿が絶えないTwitter、Facebook
季節柄もあるのか、8月13日現在、サングラスのブランド「レイバン」のスパム広告がTwitterで頻発している。極端に安い価格を提示して「今日限り」をアピールし、偽の通販サイトへ誘導するスパムツイートだ(図1)。アカウントの持ち主が気づかないうちに投稿機能を使われ発信されてしまうので、本人はフォロワーから指摘されて初めて事態を知ることになる。「なぜ自分がこんな目に?」と驚き嘆き、フォロワーに迷惑をかけたことを平謝りし、スパムツイートの削除やパスワード変更などの対応に追われる様を、毎日何件も見かける。
図1 極端に安い料金を提示し、偽の通販サイトへ誘導するスパム広告のツイート
このレイバンのスパムツイートは、昨年も春から夏にかけて盛んになり、Facebookでも大流行したようだ。もうひとつ、ムートンブーツの人気ブランド「UGG」のスパムも、Facebookを中心に出回り、多くの人を悩ませたようだ(注2)。
知らぬ間にレイバンの広告をツイートされてしまったあるユーザーは、「Twitterは長いこと使っていないし、変なURLをクリックしてもいないのに、どうしてハッキングされてしまったのか?」と落胆しつつ首をかしげていた。しばらく使っていなかったTwitterのアカウントからスパムツイートが垂れ流されているのを、知人からの連絡で知ったようだ。また、自分が知らぬ間にUGGブーツの宣伝をfacebookに投稿され、タグ付で拡散されてしまったあるユーザーは、「パスワードを変更しても勝手な投稿が止まない。どうすればいいのか?」と困惑していた。
勝手にツイートや投稿がなされてしまうということで、両者は同じ「乗っ取り」にみえるかも知れない。しかし、前者の場合は、変なURLをクリックしていない、すなわち怪しい連携アプリ(後述)を認証していないと考えると、アカウントをハッキングされてしまった可能性が高いと推測される。この場合、パスワードを変更すれば、勝手なツイートを止めることができるはずだ。後者は、パスワードを変更しても勝手な投稿が止まないということから、アカウントのハッキングではなく、連携アプリによる「部分的乗っ取り」である可能性が高い。この場合は、連携アプリを削除することで、スパム投稿を止めることができると推測される。
アカウントの乗っ取りと部分的乗っ取り、それぞれの原因と対策をみてみよう。
TwitterやFacebookの成りすましによる不正投稿で、怪しい連携アプリを認証した覚えがないのに、自分のアカウントから直接スパム広告が投稿されているという場合は、アカウントが乗っ取られている可能性が高い。その原因はさまざまだが、最近は「パスワードリスト型攻撃」(以下、リスト攻撃)による不正ログイン=アカウント乗っ取りが急増しており、その可能性が高いとみられる(注3)。
この攻撃は、過去に流出した大量のID/パスワードのリストを何らかの方法で手に入れ、標的とするサービスに専用プログラムで連続自動入力し、不正ログインを試みる。複数サイトで同じパスワードを使い回しているユーザーは、高い確率で被害を受ける。1か所でパスワードが漏えいすると、他のサービスでもそれを使って不正ログインが成功してしまうためだ。不正ログイン(アカウント乗っ取り)が成功すれば、攻撃者は、正規ユーザーがそのサービスに登録した個人情報(氏名、住所、メールアドレスなど)の閲覧はもちろん、TwitterやFacebook、LINEなどへの書き込みも好き放題にできてしまう。
不正ログインの成功には、パスワードの使い回しだけでなく、「簡単に推測できる安易なパスワード」も大いに貢献する。アカウント乗っ取りによるスパム投稿は、甘いパスワード管理が原因となる可能性が高いことを認識しておきたい。
TwitterやFacebookの成りすましによる不正投稿で、パスワードを変更したのに不正投稿が続くという場合は、公式以外の企業や個人から提供されているアプリ(サードパーティアプリ)との「アプリ連携」によるものである可能性が高い。
アプリ連携により、たとえば占いや診断、オンラインゲームや音楽関連など、便利で楽しいさまざまなサービスを使うことが可能になる。しかし、よく確かめずに悪質な外部アプリと連携してしまうと、偽のブランド通販サイトへ誘導するツイートが勝手に投稿されたり、知らないうちに悪質なユーザーをフォローしてしまったり、自分や友人の個人情報を盗み見されてしまうなどの被害が発生する。
アプリ連携とは、アカウント所有者がもつ権限(投稿やフォロー、プロフィールの更新など)の一部をそのアプリに許可することなので、連携を承認する前に、自分がどんな権限を許そうとしているのか十分に確認しておく必要がある。アプリ連携時には、公式サイトの確認ページが表示され、そのアプリに許可する機能を確かめることができる。図2は、2種類のアプリの認証画面だ。
図2 連携アプリの認証画面(Twitter)
左の認証画面では、アプリの権限(できること)として、「タイムラインのツイートを見る」「フォローしている人を見る」の2つだけを挙げ、他の権限は「できません」としている。右の認証画面では権限が一挙に増え、「新しくフォローする」「プロフィールを更新する」「ツイートする」までも許可するよう求めている。左のアプリは承認してもアカウント所有者の権限を侵害することはないが、右のアプリではアカウント所有者の知らない間にプロフィールを書き換えたり、勝手にツイートしたりすることを許してしまう。
Twitterのアプリ連携の権限は、「読み込みだけ」「読み込みと書き込み(ダイレクトメッセージ含まず)」「読み込みと書き込み(ダイレクトメッセージ含む」の3種類に分かれる(表1)。
表1 Twitterのアプリ連携は「3種類」に分けられる
1 読み込みだけ
・タイムラインのツイートを見る。
・フォローしている人を見る。
2 読み込みと書き込み(ダイレクトメッセージ含まず)
・タイムラインのツイートを見る。
・フォローしている人を見る。○新しくフォローする。
○プロフィールを更新する。
○ツイートする。
3 読み込みと書き込み(ダイレクトメッセージ含む)
・タイムラインのツイートを見る。
・フォローしている人を見る。○新しくフォローする。
○プロフィールを更新する。
○ツイートする。
●ダイレクトメッセージを見る。
1=「・」 2=「○」 3=「●」
冷静に見れば、「2」や「3」に含まれる権限許可の危険性はわかるはず。しかし、攻撃者はユーザーが説明をしっかり読んで判断する余裕を与えず、クリックを急がせる手口を使う。たとえば、いま最も話題になっている時事や芸能の話題、診断クイズなどで興味をひきつけ、「続きはこちら」とURLや画像を示す。続きを見ようとタップすると、図2の右図のような認証画面が表示されるが、早く次を見たいがためによく読まずに認証ボタンを押してしまう人も少なくない。ここで連携が成立し、その後、知らぬ間にスパム広告がツイートされても、スパムアカウントをフォローされても、自ら承認した「自己責任」になってしまう。こうした罠にひっかからないよう、十分に注意していただきたい。
意図しない投稿があるなどで乗っ取りが判明したら、すぐに次の対策をとろう。ここでは(1)~(3)について、具体的方法を紹介したい。
(1) ログイン履歴を確認する。ログイン可能であれば、すぐにパスワードを変更する。
(2) アプリ連携を確認し、怪しいアプリを解除する。
(3) ログインできなかった場合はサービス会社に連絡し、アカウント回復に努める。
(4) スパム投稿を削除し、迷惑をかけた人たちへお詫び文を書いて投稿する。
【1】パスワードを変更する
パスワードは二度と破られないように、次の留意点をふまえ、堅固なものに設定したい(注4)。
・大文字、小文字、数字、記号を混在させて最低10文字以上のパスワードを設定する(Twitter)
・数字、文字、句読点を複雑に組み合わせて6文字以上の長さにする。強度を高めるには、大文字と小文字を混在させるかパスワードを長くする(Facebook)
・連続した数字や文字(「1234abcd」など)、キーボードで連続する文字(「qwerty」など)は使わない。
・辞書に載っているような単語(一般的な言葉)は使わない。
・電話番号や誕生日、名前などは使わない。
気をつけていただきたいのは、こうして作った新しいパスワードを、他のオンラインサービスで使い回さないことだ。しかし、安全のために長く複雑にしたパスワードは、複数はもちろん1つだけでも暗証することは難しそうだ。専用ノートに記録して目立たない場所に隠したり、エクセルに保存して鍵をかけたり、信頼できるパスワード管理ツールを使うなど、自分に合った方法を検討し、安全に保管していただきたい(注5)。
【Facebookでパスワードを変更する】
パソコンでPCサイトからでも、スマートフォンのアプリからでも変更できる。
<パソコンでPCサイトから変更する>
(1) Facebookにログインする。
(2) 右上の下向き三角ボタン(▼)をクリックして「設定」を選択。
(3) [パスワード]を選択。
(4) [使用中のパスワード]、[新しいパスワード]、[新規パスワード再入力]の順に入力。
図3 パソコンでPCサイトからパスワードを変更(Facebook)
<スマートフォンのアプリで変更する>
iOS、Androidともほぼ同じ手順なので、以下を参考に実行していただきたい。
(1) Facebookの公式アプリを起動してログインする。
(2) 右上のメニューアイコン(≡)をタップ。
(3) 下にスクロールし、[アカウント設定]→[一般]→[パスワード]の順にタップ。
(4) [現在のパスワード]→[新しいパスワード]→(再入力)→[パスワードを変更]。
図4 スマートフォンでパスワードを変更(Facebook)
【Twitterでパスワードを変更する】
スマートフォンのAndroid版は公式アプリでパスワードを変更できるが、iOS版にはパスワードの変更機能がない。パソコンでPCサイトから変更するか、iOS版でモバイルサイトへアクセスして変更する。
<パソコンでPCサイトから変更する>
(1) PCサイトのTwitterにログインする。
(2) 画面右上にある自分のアカウントのアイコンをクリック。
(3) [設定]をクリックし、左側メニューから[パスワード]をクリック。
(4) パスワード設定画面になるので、新旧パスワードを入力して変更する。
図5 パソコンでPCサイトからパスワードを変更する(Twitter)
<Androidで公式アプリから変更する>
(1) 右上のメニューアイコン(縦に並ぶ3つの点)をタップ。
(2) [設定]をタップし、アカウント名をタップする。
(3) アカウントの設定画面になるので、下にスクロールする。
(4) [パスワードを変更]をタップし、新旧パスワードを入力して変更する。
図6 スマートフォン(Android)で公式アプリからパスワードを変更する(Twitter)
<iOSでモバイルサイトから変更する>
(1) Webブラウザからモバイル版Twitter(mobile.twitter.com)を開き、ログインする。
(2) [アカウント]→[歯車のアイコン]→[設定]
(3) 下のほうにスクロールすると現れる[パスワード]をタップ。
(4) 新旧パスワードを入力して変更する。
【2】「アプリ連携」を解除する
パスワード変更後はアプリ連携をチェックし、怪しいものを削除しよう。パスワード変更後もスパム投稿が止まらない場合は、すべての連携を削除してみることも検討したい。いったん解除した後、必要に応じて連携を元に戻すこともできる。
【Facebookでアプリ連携を解除する】
スマートフォンで公式アプリからでも、パソコンでPCサイトからでも、どちらからでも操作できる。
<パソコンでPCサイトから解除する>
(1) Facebookにログインする。
(2) 右上の下向き三角ボタン(▼)をクリックして「設定」を選択。
(3) 左側のメニューから「アプリ」を選択。
(4) 連携アプリが一覧表示されるので、不要なアプリを選び、カーソルを合わせる。
(5) 「削除」が現れるのでクリックし、確認画面で「削除」を選択する。
図7 パソコンでPCサイトからアプリ連携を解除する(Facebook)
<スマートフォンで公式アプリから解除する>
iOS、Androidともほぼ同じ手順なので、以下を参考に実行していただきたい。
(1) Facebookの公式アプリを起動してログインする。
(2) 右上のメニューアイコン(≡)から「アカウント設定」をタップ。
(3) 設定画面の一覧から「アプリ」をタップ。
(4) 「アプリとウェブサイト」から「Facebookでログイン」をタップ。
(5) 連携アプリが一覧表示されるので、不要なアプリを選んでタップ、下へスクロールして「アプリを削除」をタップ。確認画面で「削除」を選択する。
図8 スマートフォン(Android)でアプリ連携を解除する(Facebook)
【Twitterでアプリ連携を解除する】
公式アプリやモバイルサイトからは操作できないので、PCサイトで行う。パソコンからTwitterにログインするか、スマートフォンでPCサイトにログインして解除する。PCサイトを表示する機能は、Androidの標準ブラウザ、Safari(iOS 8以降)でサポートされている。
<パソコンでPCサイトから解除する>
(1) PCサイトのTwitterにログインする。
(2) 画面右上にある自分のアカウントのアイコンをクリック。
(3) [設定]をクリックし、左側メニューから[アプリ連携]を選択。
(4) 連携しているアプリ一覧が現れるので、削除したいアプリを選び、[許可を取り消す]をクリックする。
<スマートフォンでPCサイトから解除する>
(1) iOS、Android端末ともに、標準ブラウザでTwitterにアクセスすると、自動的にモバイル版Twitterサイトが開く。
(2) iOS端末はアドレスバーをタップし、「デスクトップ用サイトを表示」をタップ。Androidはメニューボタンをタップし、「PC版サイトを見る」をタップする。
(3) PC版Twitterのスタート画面になるので、IDとパスワードを入力しログイン。この後は、上記<パソコンでPCサイトから解除する>の(2)~(4)と同じ手順となる。
【3】ログインできなかった場合の対処法
意図しない投稿などで乗っ取りが判明し、かつログインしようとしてもできなかった場合、サービス会社に連絡して協力を求め、アカウント回復に努めよう。Facebook、Twitterは次のヘルプを用意している。
・ログインとパスワードの変更に関するヘルプ(Facebook)
https://ja-jp.facebook.com/help/136465059824353
・アカウントが乗っ取られた/ハッキングされたため、ログインできない!(Twitter)
https://support.twitter.com/articles/489464
乗っ取り被害は二度と経験したくないものだが、何度も被害にあってしまう人が少なからず存在する。そうならないために、乗っ取りを防ぐ対策は重要だ。ユーザーが乗っ取り(不正ログイン)に気付いて防止するのに役立つ機能として、次のようなものがある(注5)。
・ログイン通知:
通常とは異なるIPアドレスなどからログインが行われた場合、メール等で通知を受けられる。不審なアクセスに気付くことができる。
・ログイン履歴:
ログイン時刻やアクセス元、URL等の履歴を確認できる。身に覚えのない不審なアクセスの有無をチェックできる。
・2段階認証:
IDとパスワードに加え、あらかじめ登録しておいた携帯電話等に送信された別のパスワード(認証コード)を使用してログインする。認証コードは時間経過やログインのたびに変化するため、万が一攻撃者にIDとパスワードが盗まれても、ログインできない。アカウントを保護するためのオプション機能として高い効果が期待できる。
Facebook、Twitterともに、上記の2段階認証を、「ログイン認証」としてサポートしている。ハッキングに対する強力な防衛策としてぜひ利用をお勧めしたい。
・Facebook:ログイン承認とは?(ヘルプセンター)
https://ja-jp.facebook.com/help/148233965247823
・Twitter:ログイン認証を利用する方法(ヘルプセンター)
https://support.twitter.com/articles/20170432
Twitterには数日前、こんなツイートが投稿されていた。「レ○○○に6~7回乗っ取られた◎◎氏が、二重ログイン設定をしてからは一度も乗っ取られてないので、レ○○○を殺すには二重ログイン設定がいちばん強いって思っております」。二重ログイン設定とは2段階認証(ログイン認証)を指しており、乗っ取り防止に大きな効果を上げていることがうかがえる。
また、「これだけレ○○○のSPAMが収まらないのは、パスワード使い回しもあるけど、そもそもTwitterを止めてしまった人が多いってことなのかも」というツイートも見かけた。使われなくなったアカウントがハッキングされたまま放置され、スパム広告を蔓延させる元になっている現象がみられるようだ。以前に使って今はご無沙汰しているサービス、長い間使っていないアカウントがあれば、乗っ取られてスパム発信の温床になっていないか、チェックしてみていただきたい。長期間使用していないアカウントは削除を検討しよう。何らかの事情で削除できない場合は、定期的にチェックするなどの管理を怠らないようにしたい。
(執筆:現代フォーラム/熊谷)
<注1>
・Twitterのアプリ連携を悪用する手口に注意!あなたが悪質ツイートの発信者に!?(東京都)
http://www.shouhiseikatu.metro.tokyo.jp/trouble/trouble41-app-renkei-150501.html
<注2>
・【重要なお知らせ】SNSスパム投稿に関するご注意(レイバン)
http://japan.ray-ban.com/contents/Social_Media_Scams.php
・【重要なお知らせ】スパム投稿に関するご注意(UGG)
http://www.uggaustralia.jp/news/f14-spam.cgi
<注3>
・パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ(IPA)
http://www.ipa.go.jp/about/press/20140917.html
<注4>パスワード管理について
・安全にツイートするための基本情報(Twitter)
https://support.twitter.com/articles/249052
・パスワードの保護(Google)
http://www.google.co.jp/goodtoknow/online-safety/passwords/
・パスワードの最低要件/強度を高める方法(Facebook)
https://www.facebook.com/help/437470846292890/
<注5>
・不正ログインを防ぐ「アカウント保護」対策~パスワード強化から2段階認証まで(セキュリティ通信トピックス)
http://www.so-net.ne.jp/security/news/newstopics_201306.html