パスワードを忘れてしまっても、登録メールアドレスから簡単にログインできる便利な機能ではある──が、ユーザーからは不安の声が上がっている。
このメールを送る方法は、「パスワードを間違える」ことだけ。他人のアカウントに適当なパスワードでログインを試みるだけで、アカウントの持ち主にこのメールを送りつけることができる。ここ最近、「身に覚えのないログインリンクメールが届いた」という報告がユーザーから相次いでおり、何者かがこの機能を悪用しようと、多数のアカウントへの「ログイン失敗」を試みている可能性もある。
この機能を使う際、メール送信時にはログイン画面に登録メールアドレスの一部(最初の1〜2文字と文字数、ドットの位置、「@」以下の1文字程度。Gmailの場合は最初の2文字と@gmail.comというメールドメインすべて)が表示されるため、第三者が意図的に他人のIDでログインを試みて失敗すれば、メールアドレスの一部を知ることができる形だ。
ブログ「情報科学屋さんを目指す人のメモ」はこの仕様について、「Twitterアカウントの乗っ取りを効率化する目的であれば、かなり大きな手がかりとなる可能性がある」と指摘する。入手したTwitterアカウントとメールアドレスの一部から実際のメールアドレスを推測し、そのアドレスにフィッシング詐欺メールを送ってパスワードを手に入れ、乗っ取る――といった悪用も可能になるという懸念だ。
また、メールの「Twitterログインリンク」という件名や「安全にログインするために、以下のボタンを使用してください」といった本文は、実際のフィッシング詐欺メールにも似ている。メールを受け取ったユーザーは「Twitterログインリンクってメールきたけどうっかりタップしたらマズイやつかな」などとツイートしており、不安をかきたてられているようだ。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR