Twitterでは、アカウント乗っ取り被害が発生することがあります。アカウント乗っ取りとは、第三者にID、パスワードを使われてログインされてしまうことです。アカウントが乗っ取られると、勝手にツイートされたり、DMを送られたりするなど、被害が発生します。
企業の公式アカウントが乗っ取られてしまった場合、公式な発信を乗っ取られるということですから、Webサイトを乗っ取られるのと同等の被害が発生していると言えるでしょう。特に、Twitterの認証済みのアカウントの場合、ユーザーからの信頼性が高く、乗っ取られたときの影響が大きくなります。よって狙われやすいともいえるので、慎重な運用管理が必要です。
今回は、アカウント乗っ取り被害にあわないための対策、乗っ取られたときの対策について紹介します。
アカウント乗っ取り事例。あの有名人、企業もやられた2020年夏
Twitterがサービスを開始して以来、個人アカウント、企業アカウント、著名人、キャラクターなど様々なアカウント乗っ取り事例が発生しています。個人アカウントを乗っ取られ、スパムDMを発信している人はしばしばみかけます。
2020年7月には、アメリカの著名人のアカウントが次々と乗っ取られる事件が発生しました。被害者は、ジェフ・ベゾス氏、ビル・ゲイツ氏、イーロン・マスク氏などの実業家、バラク・オバマ元大統領、ジョー・バイデン次期大統領、さらには、Apple、Uberの企業公式アカウントまで130アカウントにわたりました。
この一斉乗っ取り事件では、乗っ取られたアカウントから、「ビットコインを送金すれば、2倍にして返金する」といった主旨のツイートが発信され、そのツイートを見た一部ユーザーが本人による発信だと信じて送金してしまうという被害もありました。
なお、このアカウント乗っ取りの仕組みは少し特殊で、Twitter社員にソーシャルハッキングを行い、Twitterの内部システムに侵入、操作を行うというもので、ハッキングされたアカウント自身は防ぎようがないものでした。
参考:An update on our security incident
しかし、このような特殊事例をのぞけば、Twitterのアカウント乗っ取りのほとんどは、安全なアカウント運用と対策を施せば防げるものです。
アカウントを乗っ取られたかな、と思ったら!今すぐにできる確認方法
次のような事象が発生している場合、Twitterアカウントが乗っ取られている可能性があります。
- ID、パスワードでログインできない
- 投稿していないツイートが発信されている
- 送信していないDMが発信されている
- 覚えのないフォロー、フォロー解除が行われている
- アカウントのプロフィール、画像などが変更されている
- Twitterから、パスワードリセットのお知らせメールが届いている
- Twitterから、アカウント情報の変更(アカウント名、メールアドレス、電話番号など)のお知らせが届いている
- Twitterから覚えのない端末からのログインのお知らせメールが届いている
- Twitterから、アカウントの乗っ取られているので、アカウントをロックしたという通知が届いている
■連携アプリからの発信は、必ずしも「乗っ取り」ではない
意図しないツイートやDM送信が行われている場合、必ずしもアカウントが乗っ取られているわけではないことがあります。「連携しているアプリ」の不具合やその仕様で、ツイートを発信する場合があります。連携しているアプリとは、Twitter以外の開発元によるサードパーティーアプリで、アカウントが連携を許可したものです。
アカウントにログインできて、意図しないツイートや動作をしている場合は、メニューの「もっと見る」→「設定とプライバシー」→「セキュリティとアカウントアクセス」→「アプリとセッション」→「連携しているアプリ」から、連携しているアプリを確認してください。意図しないアプリや使っていないアプリがあれば、連携を解除してください。
乗っ取り被害にあってしまったら
アカウントの乗っ取り被害にあってしまったら、次の対応をしてください。
■パスワードを変更する
Twitterアカウントにログインできるようなら、メニューの「もっと見る」→「設定とプライバシー」→「アカウント」→「パスワードを変更する」からパスワードを変更してください。
ログインできない場合は、ログイン画面のパスワードを忘れた場合のリンクから、パスワードリセットをしてください。ログインできない場合は、ログイン画面のパスワードを忘れた場合のリンクから、パスワードリセットをしてください。
なお、Twitterアプリはパスワードを変更した場合でも、アカウント連携が解除されません。上記の「連携しているアプリ」からアプリを削除して、アプリから再度ログインしてください。
■メールアドレスを確認する
アカウントにアクセスしているメールアドレスの安全性を確認し、自分以外がアクセスできないことを確認してください。メールアドレスを変更するには、メニューの「もっと見る」→「設定とプライバシー」→「アカウント」→「アカウント情報」から変更できます。
■解決できない場合は、Twitterに問い合わせ
乗っ取られたあと、ログインができない、パスワードリセットができないという場合は、Twitterに問い合わせを行いサポートを依頼できます。以下のフォームの「アカウントが乗っ取られた場合」から申請します。
■Twitterからアカウントをロックされたら
アカウントの乗っ取りとTwitterが判断した場合、Twitterがアカウントをロックしたり、アカウントの一部の機能を制限したりすることがあります。この場合、登録メールアドレスに通知が届いているので、対応してください。
Twitterアカウントの乗っ取り 原因は?
Twitterアカウントが乗っ取られた場合、その原因として次のような可能性があります。
■パスワードを破られ、不正ログインされる
単純で推測されやすいパスワードを使っていると、パスワードのブルートフォース攻撃(総あたり攻撃)で破られてしまう場合があります。また、他のサービスと共通のパスワードを使っていると、そのサービスからパスワードが漏洩して、Twitterアカウントが破られる場合があります。
Twitterでは、パスワードの要件として以下のことを推奨していますので、要件にしたがったパスワードを設定してください。
- パスワードの長さは10文字以上にしてください。パスワードが長いほど安全です。
- アルファベットの大文字と小文字、数字、記号を組み合わせましょう。
- アクセスするウェブサイトごとに違うパスワードを使いましょう。
- パスワードは安全な場所に保管しましょう。すべてのログイン情報を安全に保管するため、パスワード管理ソフトウェアを使うことをおすすめします。
■悪意のあるWebサイトやアプリでパスワードを入力
悪意のあるWebサイトやアプリにアクセスして、TwitterのログインID、パスワードを入力してしまうと、相手にIDとパスワードを知らせてしまいます。WebサイトやアプリがTwitterのログイン画面と全く同じ見た目で作られていることがあるのでWebサイトの場合は、URL、アプリの場合は開発元を確認する習慣をつけてください。
また、DMで送られてくるスパムの中には、詐欺サイトのような悪意あるWebサイトの場合があります。こうした危険なサイトのリンクはクリックすることのないように注意してください。
なお、Twitterがメール、ダイレクトメッセージ、返信でパメールアドレス、パスワードを問い合わせたり、入力をうながすことはありません。こうしたメッセージは偽物なので、指示に従わないようにしてください。
■ウイルスやマルウェアの感染
Twitterアカウントにログインしているパソコンが、ウイルスやマルウェアに感染して、パソコン内のパスワードが盗まれることがあります。パソコンのOSやソフトウェアは最新状態にして、ウイルス対策ソフトを使って対策してください。
■ID、パスワードを知る人が多すぎる
複数人で運用している場合や運営を引き継いだ場合などで、複数名がID、パスワードを知っている場合、漏洩の可能性が高くなります。また、退職した人がID、パスワードを知っている場合もあります。
担当者が変わるときなどは、必ずパスワードを変更して、パスワードを知る人を最低限にしましょう。
Twitterアカウントの乗っ取りを防ぐには?
Twitterアカウントの乗っ取りは、セキュアな運用を行うことで、ある程度防げます。次のことを守りましょう。
■2要素認証を設定する
2要素認証とは、ログインする時に、パスワードに加えて別の手法で取得するパスコードやキーを使うことで、セキュリティを高める手法です。
2要素認証を設定するには、メニューの「もっと見る」→「設定とプライバシー」→「セキュリティとアカウントアクセス」→「セキュリティ」→「2要素認証」をクリックします。追加できる認証は以下のいずれかです。
- テキストメッセージ
- 携帯電話のSMSで認証コードを受け取り、ログインする時に入力します。
- 認証アプリ
- モバイル認証アプリを使って認証コードを受け取り、ログインする時に入力します。
- セキュリティキー
- サポートされているウェブブラウザを使ってtwitter.comにログインするときに、物理的なセキュリティキーをコンピュータに挿入するか、モバイル端末と同期されたセキュリティキーを使用します。(Twitterアプリには非対応)
■パスワードを複雑にし、定期的に変更する
前述したように、ログインパスワードを複雑なものに設定してください。担当者の変更があった場合は変更するようにしましょう。担当者が変わらない場合でも念の為、定期的にパスワードを変更してください。
■怪しいリンクをタップしない
DMやメールなど、URLが記載されたメッセージを受け取ることがあります。「アカウントの設定を確認してください」など、それらしい文言が書かれていることもあります。こういうときは、メッセージ内のリンクをクリックせずに、自分でアクセスして確認するようにしてください。
■むやみやたらにアプリと連携しない
公式アカウントでは、診断アプリなどを利用して投稿することはほぼないと思いますが、Webサービスやツールなどのアプリを連携することはあるかもしれません。連携する場合は必要最低限にとどめるようにしましょう。定期的にアプリ連携を見直し、使っていないアプリは連携を解除してください。
アプリと連携する場合は、TwitterのOAuth認証を使います。OAuthはTwitterのユーザー名、パスワードを入力する必要がないので、安全な接続方法です。OAuth対応していないアプリは連携を避けましょう。
うっかり運用をなるべく避ける、つぶやきデスクの便利な機能
Twitter運用管理ツール「つぶやきデスク」は、TwitterのID、パスワードを共有することなく、Twitterの運用が可能です。つぶやきデスクの登録ユーザーとして追加することで、メールアドレス、パスワードでログインできるようになります。
アルバイトなど担当者の入れ替わりが頻繁でも、つぶやきデスク側でアカウント管理ができるので安心です。