Twitterの「レイバン激安」で考える、もう1つの「使い回し対策」:半径300メートルのIT
レイバンやプラダ、UGGなどの偽ブランド品を紹介するTwitterスパムの被害が止まりません。根本的な原因は、IDとパスワードの使いまわしにありそうです。
「レイバン激安」――そんな言葉がTwitterのタイムラインを埋め尽くしています(関連記事)。2015年1月にも偽ブランドの宣伝が多数投稿されていて、注意喚起が行われていたにもかかわらず勢いは衰えません。この問題は見た目以上に根深いので、改めて注意すべき点を解説したいと思います。
Twitterスパムが原点回帰した?
「レイバン激安」スパムの問題点は、Twitterのアカウントの乗っ取りに、おそらくパスワードリスト攻撃が行われているという点です。
これまでのTwitterスパムは、時事的な事件や芸能ゴシップをフックとし、「続きが読みたかったらこちら」という文言でクリックさせ、アプリ連携をさせるという手口が一般的でした。このようなやり方は、ほぼ100%がスパムメールを送るためのメールアドレス収集目的ですので、「Twitterのアプリ認証は、もう使わないに限る(関連記事)」が結論であることに変わりはありせん。
ところが、今回の「レイバン激安」や2015年1月に発生したプラダの財布、UGGのムートンブーツといった偽ブランドの宣伝は異なります。スパム投稿をさせられてしまったツイートを確認すると「via Twitter Web Client」と表示されています。
これは、WebブラウザからTwitterにログインしたときに表示されるアプリ名です。つまり、レイバン激安投稿は不正なアプリ連携からではなく、第三者がユーザーのIDとパスワードを使い、直接投稿しているものとみられています。要するにレイバン激安投稿をしている人は「IDとパスワードが漏れている人」です。
Twitter、Facebook、Google、金融機関だけでも対策を
前回、二要素認証を紹介しました。そのときにも「『もし乗っ取られたら人生を左右しかねないもの』から利用すべし」と書きました(関連記事)。
Twitterはまさに乗っ取られたら人生を左右しかねないサービスになっています。もし勝手に犯行予告や誹謗中傷の書き込みがされたとしたら……。考えたくないですよね。むしろ「レイバン激安」程度の投稿でIDとパスワードの流出の可能性に気付けたとしたら不幸中の幸いかもしれません。
さて、IDとパスワードはどこから流出したのでしょうか? 今回の件でTwitterのサーバに不正侵入があったというニュースは聞こえてきません。ということは、同じIDとパスワードの組み合わせを使っているほかのWebサービスやWebメールから過去に流出したものが「名簿」として犯罪者の間で流通している可能性を疑いましょう。
レイバン激安投稿をさせられてしまった人は当然ですが、そうでなくても同じIDとパスワードの組み合わせを複数のWebサービスで使いまわしている人は、すぐにでもパスワードを変更すべきです。特に、人生を左右しかねないFacebookやGoogleアカウント、そしてお金に直結する金融機関でパスワードを使い回していたら、被害が広がる前に対応しておきましょう。
パスワードが管理できないなら「メールアドレス使い回し」をやめればいい
とはいえ、正直なことを言うとパスワード使い回しを根絶するのは難しいと思っています。そこで、折衷案として人生を左右しかねないサービスの「ID」使い回しをやめるのはいかがでしょうか。
ほとんどのWebサービスはメールアドレスがIDの代わりになっています。同じパスワードを使い回さざるを得ないのであれば、金融機関やTwitter、Facebookだけは「それぞれ専用のメールアドレス」を用意することで、パスワードリスト攻撃を緩和できると考えています。
個人的には多くの人に二要素認証を使ってほしいと思いますし、パスワードの使い回しもやめてほしい。でも、本音では「万人には難しい」ことも分かっています。
せめて、いますぐできることとして「大事なサービスだけはパスワードを変える」、それも面倒なら「IDとして使っているメールアドレスを変える」だけでもやってみてください。
著者紹介:宮田健(みやた・たけし)
元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。
筆者より:
2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。
これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド&PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。みなさんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。
さらにありがたいことに、誠ブログの読者からも書評が届いています。こちらもぜひ、ご覧ください。
- セキュリティ業界の専門家が教えるWindowsに入れるべきツール(書評:デジタルの作法(1))
- 「こいつ、セキュリティ意識が低いな」という人に読ませたい『デジタルの作法』
- 「デジタルの作法」1億総スマホ時代のセキュリティ講座 もう、パスワードの作り方だけで1300円分の価値あります
関連記事
- 「レイバン激安」Twitter乗っ取りでスパム送信、勢い衰えず 有名人も被害に
ユーザーのTwitterアカウントを乗っ取り、ブランド品の激安通販サイトを宣伝するスパムの勢いが、3月に入っても止まらない。特に「レイバン」のサングラスを激安で販売していると宣伝するスパムが目立っており、有名人も被害にあっている。 - もう「Twitterのアプリ認証」は使わないに限る
世間が注目する事件や事故、ゴシップには、悪意がある人たちも便乗し、あの手この手でウイルスに感染させようとします。少なくともTwitterについては、悪意が便利さを上回りました。 - 万人にお勧めしたいけれど、まだまだ面倒くさい「二要素認証」
IDとパスワードの組み合わせ以外に、もう1つ何かを入力しなければいけない「二要素認証」。セキュリティを確保するためにはオンにしてほしい仕組みですが、まだまだ安心よりも「手間」が勝ってしまうようです。 - レノボのプリインストールソフトに大欠陥、“セキュリティの基本”以前の問題にどう向き合う?
Lenovo製PCにプリインストールされていた広告表示用のプログラム。こっそりSSL通信を傍受する仕組みも入れていたことが発覚して大問題になっています。
Copyright © ITmedia, Inc. All Rights Reserved.