忘れた頃に流行りだすTwitterのスパムや、悪質なアプリへの連携を促すツイート、そしてフィッシングについて、その見分け方や、対処法などをまとめました。※20150106 Chromeをダウンロードしなくてもスマホでアプリ連携を解除する方法を追加。20150217悪質スパム追加
▶人間の心理を利用してくるアカウントの乗っ取り
ソーシャル・エンジニアリングとは、人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する方法のことです。
Twitterの乗っ取りの場合は、気になって先を開いてしまったり、思わずクリックしてしまいたくなる心理を利用します。
▶アカウントが乗っ取られるとこんなことが起こる
・あなたのアカウントから心当たりのないツイートが
投稿されている。
・あなたのアカウントから心当たりのない
ダイレクトメッセージ (DM) が投稿されている。
・自分以外のアカウントに対する心当たりのない操作
(例: フォロー、フォロー解除、ブロック) が行われている。
・メールアドレスを変更していないにもかかわらず、
「Twitter アカウント (@username) の
メールアドレスが変更されました。」
という通知をTwitterから受信した。
▶運悪く乗っ取られた場合には……。
1.パスワードを変更する
設定の [パスワード] タブでパスワードをすぐに変更してください。これまでに使ったことのない、複雑なパスワードを設定してください。アカウントにログインできない場合は、こちらのトラブルシューティングをご覧ください。
2.サードパーティアプリケーションとの連携を取り消す
ログインした状態で、設定の [アプリ連携] にアクセスして、心当たりのないすべてのサードパーティアプリケーションによるアクセスを取り消してください。
3.いつも使用しているサードパーティアプリケーションのパスワードを更新する
いつも使用している外部アプリケーションにTwitterパスワードが使われている場合、そのアプリケーションのパスワードを必ず更新してください。更新せずにログインに複数回失敗すると、アカウントが一時的にロックアウトされる場合があります。
これでアカウントの安全性が確保され、意図しない行為があなたのアカウント上で発生しなくなるはずです。問題が引き続き発生する場合は、サポートへお問い合わせください。
アプリ連携の解除の仕方
・PCから
1. ログインして、右上の歯車マークをクリックし、設定画面を開く。
2. 左側の下の方にある「アプリ連携」をクリック
3. 該当のアプリの「許可を取り消す」のボタンをクリックし、連携を解除する。
・スマフォから
2つの方法を書いておきます。
1. Twitterのアプリ設定画面に直接アクセスする。
まず最初に
https://mobile.twitter.com/settings/change_ui
を開きます。そうすると、PC版のTwitter画面に切り替わります。ログインしていない方は右側のログインボックスからログインして下さい。
次に
https://twitter.com/settings/applications
にアクセスすると左の図のような状態になるので、該当のアプリの右にある「許可を取り消す」ボタンを押します。そうすると「許可の取り消しを止める」に変わるので、これでそのままにすればアプリの連携は解除されます。(ブラウザを閉じても平気です)
私はiPhone&Safariで上記の方法を試してOKでしたが、もし、PC版のTwitterが開かない場合(スマートフォンでアプリ操作できません表示となる場合など)は下記の方法でPC版のTwitter画面にアクセスして下さい。
2.Chromeからアクセスする
▶Android
https://play.google.com/store/apps/details?id=com.android.chrome&hl=ja
▶iPhone
https://itunes.apple.com/us/app/chrome-web-browser-by-google/id535886823?mt=8
いまTwitterでは、アプリ連携機能を悪用したスパムツイートの被害が頻繁に報告されている。不審なアプリとの連携は解除しよう。スマートフォンやタブレットでの操作手順を中心に解説。
※※ 次から乗っ取られないために、下記のようなことに気をつけて下さい。 ※※
▶乗っ取りには2つの方法をがあります
【DMなどからリンクにアクセスさせ、その先で登録やTwitterへのログインと称してIDやパスワードを盗む方法。】
【アプリケーションの連携により、操作(ツイート・RTなど・勝手にフォロー)】を勝手に行ってしまう
▶具体的な乗っ取り方法と、その対処法。
◆乗っ取られないために……。アプリ連携は慎重に!!
アフロ
People holding mobile phones are silhouetted against a backdrop projected with the Twitter logo in this illustration picture taken in Warsaw in this September 27, 2013 file photo. Twitter Inc on Apri… by 写真:ロイター/アフロ
実際の例
実際にスパムとして流れた画像。クイズの答を見たいという心理をついたもの。
実際にスパムとして流れた画像。まぁ、気になりますね…
問題は「アプリを連携」してしまうこと
上記のリンク先で【続きを見る】ボタンを押した時に、左の画像の画面で、「連携アプリを認証」を押してしまうと、勝手にRTしたり、知らない人をフォローしたりするようになります。
おかしいな、と思ったり、確実に出所がわかっているアプリ以外は「キャンセル」を押しましょう。
この時点で「キャンセル」を押せば、このアプリとは連携しません。
※アプリ連携は慎重に!!許可する動作にもよく目を通して!!※
【ここは安心!】アプリを連携してもパスが盗まれる訳ではない
アプリ・サービスと Twitter との連携を許可しても、そのアプリ・サービスの運営者・開発者に ID のパスワードが伝わることはありません。
OAuthという方法を使っているので安心です。しかし、上述しているように、フィッシングされないとも限らないのでお気をつけ下さい。URLを確認するのが一番ですが、できない場合はアクセスしないのが一番です。
IDやパスなどはむしろ、次の項で紹介している方法の方が危ないです。
◆DMからの乗っ取り
アフロ
A portrait of the Twitter logo in Ventura, California in this photo taken December 21, 2013. Twitter Inc’s monthly active users rose 24 percent to 271 million in the second quarter, as the online mes… by 写真:ロイター/アフロ
普段英語で来るはずの無い人から英語でDMがきたら、要注意!
またリンクをあけてIDやパスワードを入れる画面になっても、入れないようにしましょう。
※Twitterのサーバーに繋がっている場合は別ですが、確認できない人は、大丈夫なのか詳しい人に聞く、もしくはそういう場合は開かないという決まりを作っても良いかもしれないですね。
DMを開いた後に出てきたページでID、パスワードを入れてしまった
実際乗っ取られるとどうなるのか?
Twitterの「ユーザー名」「パスワード」を騙し取り、スパムやウイルス(マルウェア)の配布やダイエットサプリなどの医薬品の宣伝等を行います。また第三者が手ごまを増やすため、フィッシングサイトへのリンクを貼ったDMをフォロワーへ勝手に送信するなどTwitterでの信用を失いかねません。
こんな文言が危ない!!
・「I saw a real bad blog about you, you seen this? http://」
・「Found a funny picture of you! http://」
・「Top 15 Funniest Things!! http://」
・「Automated DM, You are tweeting too much! click here to avoid account suspension! http://」
・「Twitter has a new security feature to stop spam http://」
・funny picture of you
※この他にもありますので気をつけて下さい。
英語で来ることが多かったDMですが、少し前に日本語でも来るように……
Twitterで日本語のフィッシングダイレクトメッセージが流行っているみたいです。注意が必要です。気になったので手口などを調べてみました。
・ちょっとこれ見てくれない
など、言葉たくみです
Twitter側で対策が取られ問題無くなりましたが、こんな新種が出たこともありました
▶DMなどを出してしまった場合には、マナーとして以下のこともしておくと良いと思います。
送信したDMを削除する
あなたのアカウントからスパムDMが送信されてしまっている。正規のTwitterサイトへ行き、英文のスパムDMをすべて削除しよう。TwitterのDMは、メールとは異なり、送信者が削除すれば消える。被害を最小限にとどめるために、すぐに削除しよう。
おわびのメッセージを出した方がベター
できればTwitterで、「英文スパムの被害に遭ってしまい、フォロワーのみなさんあてにスパムが送られてしまいました。削除しましたが、ご注意ください。申し訳ありません」といったような形で、おわびのメッセージを書いたほうがベターだ。
▶参考サイト
Twitter is without a doubt the best way to share and discover what is happening right now.
Twitter is without a doubt the best way to share and discover what is happening right now.
ツイッター(Twitter)でアカウントを乗っ取る危険な英語のDM(ダイレクトメッセージ)が横行中、アカウントが乗っ取られた場合やDMが送れないなどの対処方法なども記載しています。
▶有名人も乗っ取られている
日本での導入はまだ未定ですが、2013年5月にアメリカのTwitterでは「2要素認証」が始まりました。これはTwitterにログインする際に、普段使っているパスワードに加えて、6桁のコードを入力しなければいけないというものです。
