twitterアカウント@yanmaが乗っ取られた
2021-07-23 11:00頃追記
2021-04-04 17:30頃追記
2021-04-03 22:55頃追記
字下げ.iconTwitterで拡散され始めているため、誤解のないように補足しておきます。私のアカウントが乗っ取られたことは事実ですが、私はTwitterのセキュリティ設定のうち、「2要素認証」と「追加のパスワード保護」をいずれもデフォルト設定のままOFFにしていました。これらのいずれか一つでもONになっていた場合、今回の手口は使えない可能性があります(Twitterのセキュリティ周りの仕様が不明なため推定)。
https://gyazo.com/b18e5e1a6c80b68f63f8ee3e479f49de
字下げ.iconしかし、「2要素認証」はともかくとして、「追加のパスワード保護」がデフォルトでOFFになっているのはWebサービスのセキュリティ上正しい設計なのかどうかかなり疑問です。私はこの設定の存在を知らず、パスワードのリセット要求がされると少なくとも一回はログインアラートが来て阻止するチャンスがあると考えていました。
経緯
字下げ.icon2021年3月23日12時半頃、いつも使っていたアカウント@yanmaが急に知らないものになっていることに気付いた。下記はgoogle cacheからのため若干表示が崩れているが、乗っ取られる前のスクリーンショットである。日頃からなんでもないtweetしかしていないのだが、10年以上使っている愛着のあるアカウントだった。
https://gyazo.com/2dae279872034c307d83d062ab0917a0
字下げ.icon下記が乗っ取られた直後のスクリーンショットである。ヤンヤンマ(ポケモン)のアイコンを使っている。もしかしたら、5文字でyanmaというスクリーンネームを使いたかったのかもしれない。
https://gyazo.com/d69699b4da3d0ea86301d8aa62cf4f84
字下げ.iconこの時点では何が起きたのかよく分からず、混乱しながらスマートフォンやタブレット端末からログインを試みたが全て失敗した。全端末でログアウト状態になっている。またメーラーの受信トレイを見てみると、twitterから下記のようなメールが届いていた。よくあるログインアラートではなく、twitterのアカウント登録の最終段階のようなメールである。
https://gyazo.com/45458bfeecafb3031b164294534249cd
字下げ.icon嫌な予感がしたのですぐにクリックはせずパスワードリセットを試みたが、間違いなく@yanmaに紐づけてあったはずのメールアドレスが@yanmaのものではないと言われてしまう。「いや、そのアドレスにFinal Step...が届いているのですが?」と言いたい気持ちを抑えつつ、いろいろ調査を続けていくうちにやはりアカウントを乗っ取られているらしいことが分かり、徐々に血の気が引いていった。あれ、これ詰んでないか……? https://gyazo.com/9ce4aa480fbbe23a04321aea2e0acfd9
字下げ.iconとにかく、まずは情報収集をしようと思い、Twilogで@yanmaの最近のtweetを調べてみると、私のものではないtweetが投稿されていることが分かった。bookmeterのハッシュタグが付いているので、これは読書メーターの「つぶやき」がSNS連携機能でtwitter側にも投稿されたものである。ということは読書メーターのログインパスワードが漏れている。確かに読書メーターのアカウントは2008年に登録した古いもので、その時のパスワードはあまり強い文字列ではなかった。twitterとの連携を切っておかなかったのが悔やまれる。しかし、読書メーターに不正ログインされただけでtwitterのアカウントまで乗っ取ることが可能なものだろうか? https://gyazo.com/76c6308294c2323f53ba10c9a5832186
字下げ.icon乗っ取られた二回のtweetはいずれも@SupportRequests #番号という特徴的な形をしている。そこで、この文字列でgoogle検索してみると、Yahoo!知恵袋の書き込みが見つかった。どうも、twitterアカウントのパスワードリセットをそのアカウントに紐付いていないメールアドレスでリクエストすることができ、その場合はtweetで本人確認をするらしい。twitterからワンタイムパスワードのような数字の羅列を貰い、リセットしたいtwitterアカウントでその数字をtweetすることができたら本人とみなすということだろう。 code: plain
ご連絡ありがとうございます。
アカウントに連携されているアプリでツイートできる可能性があります。アカウントを所有していることを確認するため、iOS、Twitter for iPhone、モバイルサイト (mobile.twitter.com) のいずれから以下のメッセージを含めて、@わたしのアカウントからツイートしてください。
プライバシーの理由から、メールアドレスや個人情報などをツイートに含めないようご注意ください。
ツイート後、このメールに返信してアカウントに登録されたいメールアドレスをお知らせください。そのメールアドレスが、現在別のTwitterアカウントに登録されていないことをご確認ください。
よろしくお願いいたします。
Twitter サポートチーム
字下げ.iconしかしこの場合、twitterに対して書き込み権限を渡しているサードパーティ製アプリのうちどれかを乗っ取ることができたらtwitterの書き込み権限だけでなくtwitterアカウントそれ自体も乗っ取ることができてしまう。今回、twitterから来たメールは例の「Final Step...」だけであり、「あなたのメールアドレスが変更されますよ、これはあなたですか?」といった通常のログインアラートは一通も来なかった。これはいくらなんでも乱暴な仕様ではないだろうか? アカウントに紐付いているメールアドレスにアクセスできない状況を想定しているのかもしれないが、仮にそうだったとしても念押しでメールを送って一定時間本人から拒否が来ないことを確認するべきではないか?
字下げ.iconいずれにせよ、犯行の手口はぼんやりと見えてきた。犯人は、読書メーターからのつぶやきを通じて@yanmaのメールアドレスを変更してしまったのだろう。しかし乗っ取られた@yanmaのプロフィールを見ると、不審な点がまだある。私が使っていた古い@yanmaは登録日が2009年2月からになっていたのだが、新しい@yanmaは2012年9月からになっている。twitterはアカウント名やメールアドレスは変更できるが、登録日は変更できないはずだ。であるならば、古い@yanmaが別のスクリーンネームに変えられてしまい、空いた@yanmaを新しい別のアカウントが名乗っているという状況が予想される。
https://gyazo.com/6ae33a514d6f4d50d597f8cbd3e54701
字下げ.iconつまり、@account_Yだったものが新しい@yanmaになっているのとは別に、@account_Xに相当するものが存在するはずだ。乗っ取られた私のアカウントは現在、新しい@yanmaではなく@account_Xになっていると考えられる。この状況で@account_Xのスクリーンネームを調べる方法はあるだろうか? 幸い、私とやり取りしていたリプライやDMが残っており、すぐにそれを特定することができた。
https://gyazo.com/00b3893a5ff82bb00561ea884bc2f781
字下げ.iconこのリプライは私宛のものなのだが、見慣れない@f**rz10というアカウントへのリプライが含まれている(差別表現のため伏せ字にした)。このようなリプライやDMの履歴が多数見つかったため、@account_X=@f**rz10であると考えられる。@f**rz10は既に凍結されており、過去のtweetを見ることができない。万が一犯人がパスワードやメールアドレスを変えていなければ取り返せると思いパスワードリセットを試みたが、下記のエラーメッセージが出てきてそれ以上進めなくなった(心臓に悪いので隠したが、男がこちらに銃口を向けているアイコンである。マスクのない画像も用意したが、不愉快な画像のため、自己責任で御覧頂きたい: スクリーンショット)。 https://gyazo.com/00ef12a95400cca21c20deb21aedb380
字下げ.icon結局スクリーンネーム、メールアドレス、パスワード、アイコンなどが全て変更されており、挙句の果てに携帯電話番号を登録されているため一切アクセスできない状態になっているようだ。悪意のある第三者が本人にメール通知なしでこの状態に持っていけるのはセキュリティ上正しい挙動なのだろうか? twitter社はこのパスを把握しているのだろうか? 疑問は尽きない。
やったこと
字下げ.iconTwilogにはこの時点では私のtweetが残っていたが、消えるのは時間の問題と予想されたため、まずこれをローカルに保存した(実際、23日夜にはこのデータはWebから消えてしまった。あとから気付いたがこのとき保存したデータは不完全だったため、私の過去のtweetの一部にはもうアクセスできなくなってしまった……)。 字下げ.icon読書メーターにも状況を説明し、twitterに連動投稿された読書メーター側の「つぶやき」のアクセスログが取れないか確認をお願いした。その「つぶやき」のURLはTwilogに残っていたデータから下記の二件であると分かっているのだが、既に何らかの理由で消去されてしまったようだ。
なお、これらの「つぶやき」は消去されているものの、これらに近い番号の「つぶやき」を見ると220963491が2021/03/23 05:33、220969187が2021/03/23 10:25であり、Twilogに残っていた時刻と非常に近いため、読書メーターに犯人が一時的に「つぶやき」を残した可能性は高いと考えられる。そのアクセス元のIPアドレスなどが読書メーターに残っていればもしかしたら犯人を絞り込むことができるかもしれない。 字下げ.icontwitterにヘルプセンターから通報も行った。このサイトは非常に入り組んでおり、窓口によっては下記のような自動返信が来て対応を打ち切られてしまう。いろいろ書いても読んでいる気配がないため心が折れるのだが、複数箇所から虱潰しにレポートを上げていくと中には打ち切りメールが来ない窓口もあったため、もしかしたら受理してくれる可能性があるかもしれない。ただし、今のところ自動応答以外のメールは来ていない。 https://gyazo.com/27d9a2669bae1a1a2e7f3e110ee3f267
字下げ.icon不正アクセス禁止法の被害者になるという貴重な経験をしているような気がしてきたので、この際警察にも連絡をしてみた。警察庁のリンクから該当の窓口に電話すると、一応状況は理解してくれて、独自に捜査してくれるらしい。twitterには執行機関/捜査機関向けガイドラインというものがあり、一般ユーザーからの申請は無理でも警察からであれば聞き入れてくれる可能性がある。「個人情報の開示には呼出状または裁判所命令が必要」とのことなのでハードルは高そうだが、一応その道を開いておくことは大切かもしれない。 現状
字下げ.icon各レポート先の対応待ちである。読書メーターと警察からは調べてくれる旨回答があったのだが、肝心のtwitterから自動応答以外の連絡がないためアカウントを取り返すのはかなり難しそうである。もし他にやれそうなことがあれば、どこからでも良いので私に連絡をいただけると助かります。
メール: PastelParasol@gmail.com