ITmedia NEWS > ネットの話題 >
セキュリティ・ホットトピックス

Twitter連携アプリが乗っ取られる 「ツイート数カウントくん」ユーザーが身に覚えのないブロック

» 2014年06月16日 13時49分 公開
[ITmedia]

 Twitter連携アプリ「ツイート数カウントくん」のアクセストークンが流出し、ユーザーが意図せず特定のユーザーをブロックする事態が多発していたことが分かった。作者の@bombom583さんは6月14日、同アプリを削除。15日付けの告知で、「被害にあった方々に深くお詫びする」と謝罪している。

画像 作者の告知

 ツイート数カウントくんは、1日のツイート数をカウントし、自動でつぶやくTwitter連携アプリ。アクセストークンは、Twitterアプリを認証した際、そのユーザーに代わってフォローやブロックなどの操作を行える鍵。この鍵が何らかの原因で流出し、ユーザーのアカウントが実質的に乗っ取られた形になった。

 ブロックを受けたユーザーが13日、「一晩で大量にブロックされた」とTwitterで報告。数日で12万件のブロックを受けたという。意図せずブロックしていたユーザーに連携アプリリストを公開してもらうなどして調べたところ、同アプリが原因であることが分かった。

 アプリ開発者の@bombom583さんは、「アクセストークンが流出し、悪用されていたことが発覚した」とし、14日午前10時過ぎにアプリを削除。今後、同様のなりすましが起きることはないとしている。

 ユーザーに対しては、フォロー/フォロワー一覧を確認し、身に覚えのないフォローやブロックがないか確認するよう呼びかけている。また、ユーザーのパスワード表示や変更などは、Twitterの仕様上不可能だと説明している。

「サーバ自体が乗っ取られた」

 流出の経緯は、「サーバ自体が乗っ取られ、ログも全て削除され」たため分からないという。また、「一部で噂されているような、私がトークンを売った等ということは、誓ってございません」としている。

 ツイート数カウントくんの運営は4年ほど前にスタート。ユーザー拡大についれ運営負担も増していたが、ツイート数を話題に盛り上がっているのがうれしく、「やめるにやめられない状況」だったという。「本職がエンジニアにも関わらず、決してあってはならない事を起こしたという、自責の念で一杯」としている。

Twitter連携アプリ、再度確認を

 こういった被害を防ぐため、Twitter日本法人はユーザーに対して、連携アプリ一覧を定期的にチェックし、もう使っていないものや、連携した記憶のないアプリは連携を切ることを推奨している。

 また、Twitter連携アプリはスパマーやハッカーの標的になるケースもあるとし、被害防止のためのガイドラインで注意を呼びかけている。

Copyright © ITmedia, Inc. All Rights Reserved.