事件はTwitterで起きている:Twitter定点観測(3/3 ページ)
OAuthを利用したスパムが騒ぎに
8月初旬にはもう1つ別の騒動があった。Twitterのダイレクトメッセージ機能を通じて、大量のスパムが出回るという事件が起きたのである。スパムの発信源は、MobsterWorldという名前のオンラインゲーム。Twitterのアカウントを通じて参加するゲームで、一度参加してしまうと、利用者のフォロワーにオンラインゲームへの参加を呼び掛けるダイレクトメッセージが勝手に送信される。被害者が新たな加害者になる仕組みだったため、スパムは一気に拡大した。
Twitterが流行しているとはいえ、利用者はネットに詳しい一部の人々が中心だ。なぜ多くの人々がスパムにだまされ、踏み台にされてしまったのだろうか。
まずポイントとなるのが、今回のスパムにOAuthが絡んでいた点である。OAuthはAPIのアクセス権を制御するためのプロトコル。ID・パスワードを教えることなく、あるサービスのアカウントへのアクセスをほかのサービスに許可できるものだ。Twitterは3月からOAuthを採用しており、MobsterWorldにもさまざまなサービスがTwitterとの連携に利用されていた。
今回の流れはこうだ。まず送られてきたメッセージ中のリンクをクリックすると、MobsterWorldのサイトに移動する。サイトには「Click here to play」というボタンが表示されており、ここを押すとTwitterのサイトに再び移動する。ここで「MobsterWorldがあなたのアカウントにアクセスし、アップデートすることを許可するか?」という確認メッセージが表示される。「許可する」を押すと、ユーザーのアカウントが操作されて勝手なダイレクトメッセージが送信される。
この間、ほとんどのメッセージは英語で表示される。「許可する」をクリックすると何が起きるのかが明記されているものの、よく読まずにクリックしてしまった人も多かったようだ。OAuthを利用しているため、確認画面がTwitter公式ページであることも安心感を与えてしまったのだろう。「許可する」と言ってもフォローの確認程度で、ダイレクトメッセージが送信される点までを想像していなかった利用者が多かったのではないか。
スパムがダイレクトメッセージを使ったという点も重要だ。仮に「@」を付けた返信のメッセージが来た場合、利用者の多くは不信感を抱き、リンクをクリックしないだろう。また@返信はタイムライン上に公開されるため、ほかの利用者から「〜さんのメッセージにあるリンクはクリックしない方がいい」と注意してもらえたり、勝手なメッセージが送られていることに利用者自身が気付いたりする可能性もある。さらに、ダイレクトメッセージは自分がフォローしている人からしか届かない。
今回のスパムでは、「〜さんが自分に宛てて送ってくれたメッセージなら」という安心感から気軽にクリックしてしまう利用者がたくさん出たことで、被害が急拡大した。これらがどこまで意図的に行われたものかは分からないが、ダイレクトメッセージを経由していたという点は、スパムの拡散に少なからず貢献してしまったようだ。
外部サービスと接続しやすく、SNSと同種のネットワーク性を持つTwitterは、今回のようなスパムに狙われやすい。事実MobsterWorld以前にも、Twitterを舞台にしたスパムやフィッシング詐欺は何度か発生している。MobsterWorldはゲームへの参加を呼び掛けるだけだったが、より悪質なサイトへと誘導したり、ウイルスを拡散したりするといった手口がはびこる危険性もある。利用者側は「怪しいユーザーはフォローしない、知人から紹介されたリンクでも軽々しくクリックしない」という自己防衛が求められる。
Twitterの利用者と利用方法の拡大が、これまでにない事件を引き起こしている。Twitterを初期から使っている人でも思わず驚くような出来事が、今後もTwitterを舞台に起こっていくだろう。
著者プロフィール:小林啓倫(こばやしあきひと)
日立コンサルティング シニアコンサルタント。1973年2月26日生まれ。東京都出身。筑波大学大学院(地域研究研究科)修了。国内のシステムインテグレーターでERPコンサルタントとしてキャリアを積んだ後、米マサチューセッツ州のBabson Collegeでアントレプレナーシップを学び、MBAを取得。外資系コンサルティング会社、ベンチャー企業を経て、2005年に日立コンサルティングに入社。「シロクマ日報」「POLAR BEAR BLOG」など、複数のブログを執筆するブロガーでもある。Twitterのアカウントは「@akihito」。URLは「http://twitter.com/akihito」
関連記事
Twitterのセキュリティはどうなっている? 相次ぐダウンに疑問の声
再び攻撃を受けてダウンしたTwitterの対応や戦略に対し、セキュリティ業界から疑問を投げ掛ける声が出ている。
TwitterとFacebookがDoS攻撃で一時ダウン、マルウェア攻撃も復活
TwitterやFacebookが集中的なサービス妨害(DoS)攻撃を受けて次々にダウンした。- TwitterとFacebookへのDoS攻撃、Googleにも影響
BloggerとGoogle Sitesでも小規模な障害が発生したようだが、Googleは「当社のシステムはサービスへの実質的な影響を防いだ」としている。 - メールやSNS経由の情報流出が増加、不況で危機感が増す――米調査
- Twitter攻撃にロシア政府が関与? セキュリティ企業は懐疑的
- リーダーは、メンバーの目指すゴールを理解すべし(@IT)
- APIアクセス権を委譲するプロトコル、OAuthを知る(@IT)
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- “脱Windows”が無理なら挑まざるを得ない「Windows 11移行」実践ガイド
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 爆売れだった「ノートPC」が早くも旧世代の現実
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
ITmediaはアイティメディア株式会社の登録商標です。