Twitterから不審なメール？ 「ログインリンク」に不安の声 「変更すべきか議論する」とTwitter（2/3 ページ）

[岡田有花，ITmedia]

　パスワードを忘れてしまっても、登録メールアドレスから簡単にログインできる便利な機能ではある──が、ユーザーからは不安の声が上がっている。

メアド一部表示に不安　「フィッシング詐欺？」と警戒するユーザーも

　このメールを送る方法は、「パスワードを間違える」ことだけ。他人のアカウントに適当なパスワードでログインを試みるだけで、アカウントの持ち主にこのメールを送りつけることができる。ここ最近、「身に覚えのないログインリンクメールが届いた」という報告がユーザーから相次いでおり、何者かがこの機能を悪用しようと、多数のアカウントへの「ログイン失敗」を試みている可能性もある。

身に覚えのない「Twitterログインリンク」メールが届いたユーザーの多くが「怪しい」と警戒している

　この機能を使う際、メール送信時にはログイン画面に登録メールアドレスの一部（最初の1〜2文字と文字数、ドットの位置、「@」以下の1文字程度。Gmailの場合は最初の2文字と@gmail.comというメールドメインすべて）が表示されるため、第三者が意図的に他人のIDでログインを試みて失敗すれば、メールアドレスの一部を知ることができる形だ。

　ブログ「情報科学屋さんを目指す人のメモ」はこの仕様について、「Twitterアカウントの乗っ取りを効率化する目的であれば、かなり大きな手がかりとなる可能性がある」と指摘する。入手したTwitterアカウントとメールアドレスの一部から実際のメールアドレスを推測し、そのアドレスにフィッシング詐欺メールを送ってパスワードを手に入れ、乗っ取る――といった悪用も可能になるという懸念だ。

　また、メールの「Twitterログインリンク」という件名や「安全にログインするために、以下のボタンを使用してください」といった本文は、実際のフィッシング詐欺メールにも似ている。メールを受け取ったユーザーは「Twitterログインリンクってメールきたけどうっかりタップしたらマズイやつかな」などとツイートしており、不安をかきたてられているようだ。