芸能人のiCloudやFacebookの不正ログイン被害が報道された直後から、今度はTwitterの乗っ取り被害を報告する芸能人が相次いだ。若干事情が異なるようだが、Twitterのセキュリティ機能についてもおさらいしておこう。
相次ぎ報告されたのは、「誰かがパスワードを変えようとしている」とか、「知らない人を勝手にフォローされた」というもの。本人がそうつぶやいているので、完全に乗っ取られてしまったわけではなく、前者はパスワードを忘れた場合の再設定(パスワードリセット)機能の悪用、後者は連携を許可した悪質なアプリの仕業ではないかと推察する。
■「パスワードリセット」を制限する
Twitterのパスワードリセットは、登録してあるメールアドレス、電話番号、ユーザー名のいずれかを入力するとリクエストできる。ユーザー名は公開情報なので、標準状態では誰でもリクエストできてしまう。リクエストの通知は、無視すれば特に弊害はないのだが、執拗に繰り返されると、ほとんど嫌がらせだ。
設定を変更すると、ユーザー名だけではパスワードリセットがリクエストできなくなる。WebブラウザでTwitterのアカウントにログインし、右上の「プロフィールと設定」アイコン(自身のアイコン)をクリックして「設定」ページを開く。「セキュリティとプライバシー」を選択し、「パスワード」欄の「パスワードのリセットに個人情報を使う」にチェックを入れて有効にする。
■「アプリ連携」を見直す
Twitterには、他のアプリやサービスからTwitterの機能を利用する、アプリの連携という機能がある。アプリが利用する機能は、連携時に表示され、ユーザーが許可するとアプリがアカウントを利用できるようになる。
連携しているアプリは、Webの「設定」ページにある「アプリ連携」で確認できる。アクセス権が「読み書き」になっているアプリは、メッセージの投稿やフォローなどの操作が行えるので、悪質なアプリを連携してしまうと、怪しい広告を投稿されたり、見ず知らずの人を勝手にフォローされたりしてしまうことがある。アクセス権が「読み、書き、及びダイレクトメッセージ」の場合には、さらにダイレクトメッセージも送ることができるようになる。
アプリ連携のセクションで、心当たりのないサードパーティーアプリの「許可を取り消す」をクリックすると、そのアプリの連携を解除できる。不審なアプリの特定には、次の「ログイン履歴」の機能も参考になる。
■「ログイン履歴」を確認する
Twitterには、ログインするたびに通知する専用機能はなく、通常は、運営側が不審と判定したログインやログイン未遂と、重要な設定変更が行われた場合にのみ通知される。Webの「設定」ページから「Twitterデータ」に進むと、ログイン中の端末や過去のログイン履歴が閲覧できるので、心当たりのないログインや操作が行われた場合には、確認してみるとよい。
不正ログインが疑われる場合には、パスワードの変更で対処する。アプリ連携が疑われる場合には、許可の取り消しで対処する。アプリにID/パスワードを渡して連携した場合には、パスワードの変更と連携解除の両方を行う。
■「ログイン認証」を有効にする
ログイン時に通常のID/パスワードに加え、SMSで送られてくる6桁の使い捨てのログインコードの入力が必要になる認証方式だ。これらを有効にしておけば、ID/パスワードが破られてもログインコード受信用の端末がないとログインできず、不正ログインを防ぐことができる。利用するためには、SMSが受信できる電話番号が必要だ。
ログイン認証を有効にするには、Webの「設定」ページから「セキュリティとプライバシー」に進み、「セキュリティ」セクションの「ログイン認証」をオンにする。iOS版公式アプリの場合は、右下の「プロフィール」をタップし、「設定」アイコン(歯車)→「設定」→「アカウント」→「セキュリティ」と進み、「ログイン認証」を有効にする。Android版公式アプリの場合は、右上のメニューアイコン(≡)をタップし、「設定」→「アカウント」→「セキュリティ」と進み「ログイン認証」をオンにする。
(2016/06/06 ネットセキュリティニュース)
【関連URL:Twitter】
・安全にツイートするための基本情報
https://support.twitter.com/articles/249052
・アカウントが乗っ取られた/ハッキングされたため、ログインできない!
https://support.twitter.com/articles/489464