Twitterの「レイバン激安」で考える、もう1つの「使い回し対策」半径300メートルのIT

レイバンやプラダ、UGGなどの偽ブランド品を紹介するTwitterスパムの被害が止まりません。根本的な原因は、IDとパスワードの使いまわしにありそうです。

» 2015年03月09日 11時30分 公開
[宮田健,Business Media 誠]

 「レイバン激安」――そんな言葉がTwitterのタイムラインを埋め尽くしています(関連記事)。2015年1月にも偽ブランドの宣伝が多数投稿されていて、注意喚起が行われていたにもかかわらず勢いは衰えません。この問題は見た目以上に根深いので、改めて注意すべき点を解説したいと思います。

Twitterスパムが原点回帰した?

レイバン激安 「via Twitter Web Client」という表示があることに注目

 「レイバン激安」スパムの問題点は、Twitterのアカウントの乗っ取りに、おそらくパスワードリスト攻撃が行われているという点です。

 これまでのTwitterスパムは、時事的な事件や芸能ゴシップをフックとし、「続きが読みたかったらこちら」という文言でクリックさせ、アプリ連携をさせるという手口が一般的でした。このようなやり方は、ほぼ100%がスパムメールを送るためのメールアドレス収集目的ですので、「Twitterのアプリ認証は、もう使わないに限る(関連記事)」が結論であることに変わりはありせん。

 ところが、今回の「レイバン激安」や2015年1月に発生したプラダの財布、UGGのムートンブーツといった偽ブランドの宣伝は異なります。スパム投稿をさせられてしまったツイートを確認すると「via Twitter Web Client」と表示されています。

 これは、WebブラウザからTwitterにログインしたときに表示されるアプリ名です。つまり、レイバン激安投稿は不正なアプリ連携からではなく、第三者がユーザーのIDとパスワードを使い、直接投稿しているものとみられています。要するにレイバン激安投稿をしている人は「IDとパスワードが漏れている人」です。

Twitter、Facebook、Google、金融機関だけでも対策を

 前回、二要素認証を紹介しました。そのときにも「『もし乗っ取られたら人生を左右しかねないもの』から利用すべし」と書きました(関連記事)

 Twitterはまさに乗っ取られたら人生を左右しかねないサービスになっています。もし勝手に犯行予告や誹謗中傷の書き込みがされたとしたら……。考えたくないですよね。むしろ「レイバン激安」程度の投稿でIDとパスワードの流出の可能性に気付けたとしたら不幸中の幸いかもしれません。

 さて、IDとパスワードはどこから流出したのでしょうか? 今回の件でTwitterのサーバに不正侵入があったというニュースは聞こえてきません。ということは、同じIDとパスワードの組み合わせを使っているほかのWebサービスやWebメールから過去に流出したものが「名簿」として犯罪者の間で流通している可能性を疑いましょう。

 レイバン激安投稿をさせられてしまった人は当然ですが、そうでなくても同じIDとパスワードの組み合わせを複数のWebサービスで使いまわしている人は、すぐにでもパスワードを変更すべきです。特に、人生を左右しかねないFacebookやGoogleアカウント、そしてお金に直結する金融機関でパスワードを使い回していたら、被害が広がる前に対応しておきましょう。

パスワードが管理できないなら「メールアドレス使い回し」をやめればいい

 とはいえ、正直なことを言うとパスワード使い回しを根絶するのは難しいと思っています。そこで、折衷案として人生を左右しかねないサービスの「ID」使い回しをやめるのはいかがでしょうか。

 ほとんどのWebサービスはメールアドレスがIDの代わりになっています。同じパスワードを使い回さざるを得ないのであれば、金融機関やTwitter、Facebookだけは「それぞれ専用のメールアドレス」を用意することで、パスワードリスト攻撃を緩和できると考えています。

 個人的には多くの人に二要素認証を使ってほしいと思いますし、パスワードの使い回しもやめてほしい。でも、本音では「万人には難しい」ことも分かっています。

 せめて、いますぐできることとして「大事なサービスだけはパスワードを変える」、それも面倒なら「IDとして使っているメールアドレスを変える」だけでもやってみてください。

著者紹介:宮田健(みやた・たけし)

デジタルの作法 『デジタルの作法』

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

筆者より:

2015年2月10日に本連載をまとめた書籍『デジタルの作法〜1億総スマホ時代のセキュリティ講座』が発売されました。

これまでの記事をスマートフォン、セキュリティ、ソーシャルメディア、クラウド&PCの4章に再構成し、新たに書き下ろしも追加しています。セキュリティに詳しくない“普通の方々”へ届くことを目的とした連載ですので、書籍の形になったのは個人的にも本当にありがたいことです。みなさんのご家族や知り合いのうち「ネットで記事を読まない方」に届けばうれしいです。

さらにありがたいことに、誠ブログの読者からも書評が届いています。こちらもぜひ、ご覧ください。


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ