Twitter連携アプリが乗っ取られる 「ツイート数カウントくん」ユーザーが身に覚えのないブロック
Twitter連携アプリ「ツイート数カウントくん」のアクセストークンが流出し、ユーザーが意図せず特定のユーザーをブロックする事態が多発。作者はアプリを削除した。
Twitter連携アプリ「ツイート数カウントくん」のアクセストークンが流出し、ユーザーが意図せず特定のユーザーをブロックする事態が多発していたことが分かった。作者の@bombom583さんは6月14日、同アプリを削除。15日付けの告知で、「被害にあった方々に深くお詫びする」と謝罪している。
ツイート数カウントくんは、1日のツイート数をカウントし、自動でつぶやくTwitter連携アプリ。アクセストークンは、Twitterアプリを認証した際、そのユーザーに代わってフォローやブロックなどの操作を行える鍵。この鍵が何らかの原因で流出し、ユーザーのアカウントが実質的に乗っ取られた形になった。
ブロックを受けたユーザーが13日、「一晩で大量にブロックされた」とTwitterで報告。数日で12万件のブロックを受けたという。意図せずブロックしていたユーザーに連携アプリリストを公開してもらうなどして調べたところ、同アプリが原因であることが分かった。
アプリ開発者の@bombom583さんは、「アクセストークンが流出し、悪用されていたことが発覚した」とし、14日午前10時過ぎにアプリを削除。今後、同様のなりすましが起きることはないとしている。
ユーザーに対しては、フォロー/フォロワー一覧を確認し、身に覚えのないフォローやブロックがないか確認するよう呼びかけている。また、ユーザーのパスワード表示や変更などは、Twitterの仕様上不可能だと説明している。
「サーバ自体が乗っ取られた」
流出の経緯は、「サーバ自体が乗っ取られ、ログも全て削除され」たため分からないという。また、「一部で噂されているような、私がトークンを売った等ということは、誓ってございません」としている。
ツイート数カウントくんの運営は4年ほど前にスタート。ユーザー拡大についれ運営負担も増していたが、ツイート数を話題に盛り上がっているのがうれしく、「やめるにやめられない状況」だったという。「本職がエンジニアにも関わらず、決してあってはならない事を起こしたという、自責の念で一杯」としている。
Twitter連携アプリ、再度確認を
こういった被害を防ぐため、Twitter日本法人はユーザーに対して、連携アプリ一覧を定期的にチェックし、もう使っていないものや、連携した記憶のないアプリは連携を切ることを推奨している。
また、Twitter連携アプリはスパマーやハッカーの標的になるケースもあるとし、被害防止のためのガイドラインで注意を呼びかけている。
関連記事
- 「Mステでポロリ」などスパムツイート拡散 アプリ連携の不用意な許可で意図せず投稿、注意を
「Mステでおっpいポロリ放送事故ww」「ドラえもん放送打ち切りが決定」など、デマを含むスパムツイートが拡散している。ツイート内のURLをクリックして連携アプリを認証すると、自分のアカウントからもスパムツイートが自動投稿されてしまう。 - Twitter“診断系”スパムDMに注意 「ジブリキャラ診断」「この画像何だか分かる?」拡散
「ジブリキャラ診断」など、診断サービスをかたるスパムDMがTwitterで出回った。Twitter連携アプリを認証させ、同じ内容のDMをフォロワーに送りつける仕組みだ。 - ヤフー「話題なう」かたる悪質スパムTwitterに注意 「ツイキャス」に偽装してアプリ連携誘導も
ヤフーの「話題なう」のアイコンを無断利用したスパムアカウント「@now_wada」に注意。「ツイキャス」に偽装した認証画面からアプリ認証を誘導していた。 - 「ツイプロフィール」に障害→別サービス「ツイプロ」に移管したと勘違いするユーザー続出 確かに似ているが……
Twitterのプロフィールサービス「ツイプロフィール」がつながりにくい状態になり、同サイトが「ツイプロ」という似た名前の別サービスに移管したと勘違いするユーザーが続出。その勘違いを「デマだ」とたしなめるユーザーも現れるなど混乱が起きた。 - もう「Twitterのアプリ認証」は使わないに限る
世間が注目する事件や事故、ゴシップには、悪意がある人たちも便乗し、あの手この手でウイルスに感染させようとします。少なくともTwitterについては、悪意が便利さを上回りました。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.