もう「Twitterのアプリ認証」は使わないに限る：半径300メートルのIT

[宮田健，Business Media 誠]

　2014年3月8日に消息不明になったマレーシア航空370便（MH370）。各国の懸命な捜索が続いていますが、一足先に「MH370の動画」を偽装した不正プログラムが発見されました（参照リンク）。

　人々が注目する事件や事故、ゴシップに便乗し、「真実を知りたければクリック」と誘導する詐欺サイトやウイルス感染をさせるサイトはこれまでも多数、登場しています。過去には、東日本大震災やボストンマラソン爆破事件なども利用されていました。この脅威を告知するトレンドマイクロは以下のように呼び掛けています。

　「最新のニュースや時事問題を知りたいときは、メールやソーシャルネットワークサイトではなく、信用のおける有名なニュースサイトを直接訪れるようにしてください」

信用に足る情報を「パクる」犯罪者たち

　Twitterやメールであなただけに特報が届く――そんなことはほとんどあり得ません。今回は、「コピペサイトからではなく、信頼できる人からの情報を参考にしましょう」というコラムにまとめようと思っていたのですが、コトはそんなに簡単にはいかないようです。

　2014年3月21日は、Twitter共同創業者のジャック・ドーシー氏が最初のツイートを投稿してからちょうど8年に当たりました。それを記念して、Twitterは「自分の最初の投稿が分かるツール」を提供しました。

　早速、このツイートに便乗したニセモノが登場しています。アイコンと投稿内容をコピーして「ツイッターJP」と名乗る偽アカウントは、「@twittter_JP」と「t」が1個多いだけ。ぱっと見では判断が付きません（以前、筆者は「Instagram」を真似た「lnstgram」にだまされたことがあります）。

　こうなると、「信用しているサイトやサービスなら安心」というわけにもいかなくなります。このような手口のツイートは、だいたい信用しているフォロワーからリツイート（RT）されてきます。「信用しているサイトの情報が、本当にそのサイト自体からの情報なのか」、自分もRTする前に考えなくてはならない時代なのです。

悪ツイートは良ツイートを駆逐する

　少なくともTwitterにおいて、対策は2つしかありません。「面白そう」という情報が流れてきたら、「じっくり確認する」か「完全に無視する」の2択です。具体的には「Twitterの連携アプリ認証ページが表示されても、絶対にログインしない」というポリシーを自分の中で決めることです。

　Twitterの連携アプリ認証を要求するアプリは、フォロー／投稿を要求する悪意あるものがほとんどです。プレゼントやキャンペーンの応募などでも利用されますが、自衛するためには、「正しいものすべてをひっくるめて、もう使わない」こともやむを得ないでしょう。

　「悪貨は良貨を駆逐する」という言葉を地で行く現在の展開には、個人的には無力感を抱きます。本来はサービス運営側がなんらかの強権を発動するべきかとは思いますが、セキュリティはどうしても後手に回らざるを得ません。とても残念なことです。