twitterアカウント@yanmaが乗っ取られた(解決編)
2021-07-23 11:00頃追記
概要
字下げ.icontwitterアカウント@yanmaが乗っ取られた件について、2021年4月4日1時5分にtwitterから連絡があり、アカウントが復旧した。ずいぶん広く拡散されているようで、解決の経緯を知りたい方も多いと思われるため、ここにまとめておく。 Twitter, Inc.とのやりとり
2021年3月23日
字下げ.icon夜の空き時間にヘルプセンターの複数の窓口から乗っ取られたアカウントとそれに対応するメールアドレス、状況の説明を入力して送信していると、そのうちいくつかが定型応答のパスにヒットしたらしく、下記の自動応答が返ってきた。 code: 2021/03/23 (火) 20:40 Twitter -> @yanma
ご利用者様
お客様がご連絡いただいた際にご利用になったメールアドレスは、お客様がおっしゃっているアカウントのものと一致しておりません。
最初のリクエスト時のメールアドレスが誤っている場合、アカウントに関連付けられているメールアドレスをご使用のうえ、新しいリクエストを申請してください。新しいリクエストを申請されたら、このメールにご返信ください。その際、お問い合わせ番号を含めるようにしてください。できる限り早くお返事差し上げるようにいたします。
アカウントに関連付けられているメールアドレスにアクセスできない場合には、以下の条件に該当するときにおいてサポートできる可能性がございます。
• TwitterアプリをiOSまたはAndroidで使用している。
• mobile.twitter.comでログインしている。
• TweetDeckやInstagramといったアプリケーションとアカウントが紐づけられている。
• アカウントが組織または企業のものである。
上記の条件に1つ以上当てはまる場合は、このメールに返信する形でお知らせください。
よろしくお願いいたします。
Twitter
code: 2021/03/23 (火) 22:56 Twitter -> @yanma
ご利用ありがとうございます。
ご報告をありがとうございました。ご報告内容は、お客様より既にご報告いただいておりますケース# 0200558185に関連しているようですので、本件を最初のご報告に追加いたしました。
今回お送りいただいた情報も含めて確認いたします。
このほかにも情報がございましたら、本メールに返信する形でお知らせいただけますと幸いに存じます。ご協力に感謝いたします。
よろしくお願いいたします。
Twitter
code: 2021/03/23 (火) 23:10 Twitter -> @yanma
ご利用ありがとうございます。
お客様が該当アカウントの所有者であることを確認できませんでした。不本意なことと拝察いたしますが、このアカウントへのアクセスにつきましてはこれ以上のサポートはできません。
アカウントに登録されたメールアドレスがわかっているものの、そのメールアドレスをご利用になれない場合は、メールのプロバイダーにお問い合わせください。
プライバシー保護のため、このアカウントのメールアドレスに関する情報は一切提供できません。
アカウントを新たに作成してまたTwitterをご利用いただければ幸いです。
このメールは送信専用です。このメールに返信しないでください。
よろしくお願いいたします。
Twitter
字下げ.iconそこで、次のように返信した。
code: 2021/03/23 (火) 23:12 @yanma -> Twitter
Twitter ご担当者様
ありがとうございます。
まずは<<私のメールアドレス>>が
2021/3/22(JST)まで@yanmaに紐付けられていたメールアドレスであることを
ご確認いただけますでしょうか。
私は一度もメールアドレス変更に同意していません。
メールアドレスとアカウントを元に戻して下さい。
必要であれば、twitter社から上記メールアドレスに@yanma宛に来たメールを添付することも可能です。
Dear Sir,
At first, could you confirm the fact that <<私のメールアドレス>>
was certainly associated with @yanma until 2021/3/22(JST)?
I never agreed to change my email address.
Please get my email address and account back.
If you needed, I can attach the e-mail that twitter sent to @yanma = <<私のメールアドレス>>.
字下げ.iconしかし、このメールが23:10の自動応答よりもタッチの差で遅かったらしく、次のような自動応答が返ってきた。
code: 2021/03/23 (火) 23:12 Twitter -> @yanma
Hello,
Thank you!
Twitter Support
@Support
字下げ.icon全然フォームやメールの中身を読んでくれていないし、いきなり英語になった理由もよく分からず頭にきたため、次のように返信した。
code: 2021/03/23 (火) 23:14 @yanma -> Twitter
THIS PROBLEM IS NOT CLOSED.
PLEASE READ MY EXPLANATION BELOW.
(以下前回のメールのコピペ)
字下げ.iconすると、次のような自動応答が返ってきた。
code: 2021/03/23 (火) 23:14 Twitter -> @yanma
Hello,
Thank you!
Twitter Support
@Support
字下げ.iconコントだろうか? これでは埒が明かないと判断し、一旦このケース番号でのサポートは断念した。
2021年3月24日-2021年4月2日
読書メーター、警察とのやり取りを続けながら、ヘルプセンターにも数日に一回はレポートを上げていた。 ケース番号は都度変わるものの、自動応答の文面や言語が微妙に違うだけで、概ね上記と同じような自動応答が来るばかりである。
2021年4月3日
字下げ.icon二週間経ったが解決しそうにないので、諦めて避難用アカウントに経緯を固定ツイートで表示しておいたところ、内容に興味を持った方々が拡散してくださり、夜にはRT通知がたくさん来る状態になっていた。 2021年4月4日
字下げ.icon深夜1:05にtwitterからいきなり次のようなメールが来て解決した。
code: 2021/04/04 (日) 1:05 Twitter -> @yanma
ご利用ありがとうございます。
メールアドレスをお知らせいただき、ありがとうございました。お知らせいただいたアドレスをアカウントに登録しました。
ご利用のアカウントで今後不慮の事態が起こらないようにするため、できるだけ速やかに以下の手順に従うことをおすすめします。
1. パスワードを変更します。これまで他で使用したことのない、複雑で推測されにくいパスワードを選んでください。ご存じの方策とは思いますが、実効性があります。
2. ログイン認証を有効にします。これにより、アカウントへのログイン時に、パスワードに加えてご利用のモバイル端末も必要になります。
3. アカウントに登録されているメールアドレスの安全性が確保されていることを確認します。確証がない場合は、アカウントに登録されているメールアドレスを変更してください。
4. パスワードを変更した後も、ご利用のアカウントで異常な動作や身に覚えのないツイートが続く場合は、パソコンのウイルススキャンを実行します。
どのようなサードパーティーサイトにもユーザー名、メールアドレス、パスワードを教えないでおくことをお勧めします。特に、フォロワーを急増できるとうたうサイトには注意が必要です。
セキュリティ上の理由から、ご利用のTwitterアカウントに連携されていたアプリをすべて削除しました。アプリの連携は定期的に確認し、アプリ連携 タブに心当たりのないサードパーティーアプリケーションがあれば、アクセスを取り消してください。 アカウントがハッキングされたり乗っ取られたりした場合に関する情報は、ヘルプセンターにもありますので、ぜひご覧ください。
よろしくお願いいたします。
Twitter
字下げ.icon以上である。
字下げ.iconいくつも別のケース番号でレポートを上げてはいたが、Case# 0200558185に関しては2021/03/23 (火) 23:14の最後の自動応答で会話を断念して以来アクションを取っておらず、その次に来たのがこのメールだった。0200558185はクローズされたのではなかったのか? 前回の記事がbuzzったのと関係があるのか? それともクローズされたと見せかけて実は裏で確認を進めてくれていたのか? 他のケース番号を精査して、改めて0200558185が問題だと再オープンしたのか? 次々に疑問が沸いてくるのだが、これまでの経緯からtwitterとまともな会話ができると思えないため、取り戻したアカウントから分かったことをまとめて一旦終了としたい。
取り返したアカウントにログインして分かったこと
字下げ.iconアカウントアクセス履歴を見ると想定通り、読書メーター、それを捕捉したTwilog、Twitter for iPhoneの順にアクセスが行われていた。Twilogはtweet権限を取得しないため、やはり読書メーター経由の二回目のアクセスが原因でアクセス権が犯人に移っていると考えられる。
https://gyazo.com/9b12a8b00c2255ee8fff6c25d0e93e49
字下げ.iconTwitter for iPhoneのIPアドレスが犯人のものである。United Statesとあるが、VPN経由のため真のアクセス元は分からない。
https://gyazo.com/b4b84e8d280a9ece0804285dde44f817
字下げ.icon読書メーターからの連動tweetの投稿時間(2021/03/23 10:26:17)とtwitterに記録されているログイン時間(2021/03/23 10:26:17)が一致しているため、予想通り読書メーターの「つぶやき」がtwitterに投稿されたと考えられる。また、「Final Step...」のメール(≠ログインアラート)の受信時刻(2021/03/23 12:02)とTwitter for iPhoneのログイン時間(2021/03/23 12:05:00)も非常に近く、犯人が乗っ取りを完了したのとほぼ同時に「Final Step...」が届いたようだ。
字下げ.iconヤンヤンマアイコンのアカウントは凍結された(20594817が私、816494222が乗っ取り中に使用されていたアカウント)。
https://gyazo.com/44793c40805e345db8a3069c472ca63c
字下げ.iconつまり、次のようになった。ID:816494222は現在@olymlkj1にリネームされ、凍結されている。 https://gyazo.com/5546713b33ca536932adcc832f140951
字下げ.icon乗っ取り犯のメールアドレスも残っていた。これは私のメールアドレスではないが、私が管理しているアカウントから見えている情報であり、公益性も高いと考えられるため公開する。ただし、すぐに変更したため、現在は違うものになっている。
https://gyazo.com/c7a4cdc08e7546b18652caaefaa679ad
警察, 読書メーターとのやり取り
字下げ.icon一応、警察や読書メーターとやり取りした内容も簡単にまとめておく。結局この経路からは問題解決に至らなかったのだが、どちらも起きていることを理解しようとして下さり大変ありがたかった。twitterがあまりにも会話にならないため、自分が支離滅裂な説明をしているのではないかと不安になっていたのだが、これらの方々とのやり取りや今回のbuzzの反応を見ていると、何が起きているのかtwitter以外にはきちんと伝わっているようなので、そのことが確認できただけでも良かったと思う。
警察
私の要望
犯人の情報を持っているのはtwitter社か読書メーターなので、そのどちらかの経路で犯人を特定したい。
アカウントを取り返したい。
警察の回答
twitter社は児童ポルノや殺害予告など、本当に危険なケース以外は耳を貸してくれない。
読書メーターは日本の会社なので、まずは読書メーターから犯人の追跡を試みる。
読書メーター
私の要望
当該時刻に不正なログインの形跡があったかどうか調べてほしい。
読書メーターの回答
ログイン日時をいくつか見たが、その中に犯人のアクセス時刻は含まれていなかった。
警察から捜査協力依頼があったため、以後警察を通じての対応とする。
字下げ.iconアカウントを取り戻すことはできたが、一応犯人が追跡できるかどうかまでは確認をお願いしようと考えている(しかしおそらくPia VPNの154.21.212.172で追跡が止まるはず)。
類似案件
字下げ.icon私の件と同じ手口かどうか不明だが、類似案件に遭われている方からメールを頂いたため、リンクしておく。この方は3ヶ月ほどtwitterとやり取りをしたが未解決だそうである。
字下げ.icon他にも、"@SupportRequests #"でgoogle検索すると同じようなtweetがたくさんヒットする。この中には本人によるtweetも含まれているだろうが、今回の手口で攻撃されているのと区別が付かないのではないだろうか。
https://gyazo.com/cb0022560a27e8d3d32ee590bc1f0955
まとめ
tweet権限を渡したサードパーティ製アプリが乗っ取られると、tweet権限だけでなくtwitterアカウントも乗っ取られることがある
「2要素認証」と「追加のパスワード保護」をONにしておくと、そのリスクを下げられる可能性がある
https://gyazo.com/b18e5e1a6c80b68f63f8ee3e479f49de
今後について
字下げ.icon結局、今回の攻撃がどのようなセキュリティ条件のときに成功するのか、私はまだ把握できていないのですが、調査する気もありません(今回のtwitterの対応が疑問だらけでtwitterのバグ出しに時間を掛ける気分になれないため)。しかし、今回の攻撃の全容を明らかにするには、それが成立する条件を特定することが必要です。もし、そのような活動をしたい方がいらっしゃれば、私に提供できる情報はお出ししますので、ご連絡いただければ幸いです。
メール: PastelParasol@gmail.com
オチ
字下げ.iconスクリーンネーム@Yanmaが大文字になっているのが気に入らず小文字に直したかったのだが、@Yanma -> @yanmaとは変えられず、一旦@yanma_abcde->@yanmaと変えようとしたところ、その一瞬(5秒ぐらい)でスクリーンネームを横取りされてしまった。一応交渉してみようとは思うが、疲れたのでもういいかな……。結局、取り返したアカウントのスクリーンネームを@yanma_twとすることで落ち着けます。
https://gyazo.com/2d14f1cce477cf28ec38e52a9e6f9f5f
https://gyazo.com/519d680be2257c713c96deb15622e05b
蛇足
字下げ.icon結局駄目だったんかーい! と心配してくださっている方が結構いらっしゃるようなので蛇足ですが追記しておきます。今回最後に神がかり的なタイミングで取られてしまったのはスクリーンネームの方であり、取り返したアカウントのユーザーID20594817は手元に残っています。スクリーンネームが変わってしまったのはまあ悔しいのですが、私の過去10年ぐらいのtweetやらfavやらlist, follow/follower関係は全て元通りになったので、実はそんなに気にしていません。むしろ@yanmaという5文字のスクリーンネームは欲しい人が多すぎるようで、攻撃される可能性が低くなるという意味ではむしろ@yanma_twの方が安全とすら言えると思います。今回私が頑張ってtwitter社と交渉したのは、ユーザーID20594817自体が乗っ取られて上記の資産にアクセスできなくなってしまったり、twitterだけでつながっていた人と切れてしまったりするのが辛かったからです。 字下げ.iconまた、これも蛇足ですが、交渉の中で一番しんどかったところは結局「テンプレートではない」と思える返信が一通も来なかった点です。人間ではなくAIを相手にしているのでAIに分かる書き方をしないといけないのですが、それをどうやれば良いのかが全然分からず、何度も少しずつ文面を変えながらいろんな窓口からアプローチを続けました。結局/icons/shokai.iconさんを始めとするtwitterの皆さんがバズらせてくれたのが一番効いたっぽいのも腹が立っています。「これバズってなかったら取り戻せてないんじゃないか?」と疑ってしまうだけのことをtwitter社はしています。サポート窓口は人間である必要はないかもしれませんが、問題を解決する必要はあるはずです。
字下げ.icon自衛のための対策ですが、2FAやセキュリティ設定をする以外に、そもそもtwitter社を信用しないということも必要になってくるのかなと考えています。twitterには数日かかるものの全データのexportをする機能があるようなので、一旦それを自分の手元にDLし、今後のtweet等はどこかに転載するような仕組みを作ってしまえば、次にもしアカウントを乗っ取られてもデータを人質にされることがないため、わけの分からないヘルプフォーム経由で出来の悪いAIのおもりをすることもないでしょう。お酒や他の依存症アイテムと同じでtwitterともうまく付き合って身軽になろう!
2021-04-08 0:30頃追記
字下げ.icon2021-04-06 1:49頃、twitter社から問題が解消されたというメールがあり、ログインしてみるとスクリーンネームが元に戻っていた。これでアカウントは完全に元通りになった。ダメ元で戻してほしいというメールをtwitter社に送っていたのだが、ちゃんと対応してもらえたのは想定外だった。これは私の勝手な予想なのだが、今回の件はどこかのタイミングでAIではなく手動のサポートフローに入っているので、私のメールもAIではなく人間が読んでくれたのだと思う。あるいは、「ユーザー名の不正占拠に関するポリシーに引っかかったのでは」と予想している方もいたので、もしかしたら単に横取り犯がルール違反していただけなのかもしれない。 字下げ.icon結局、この二週間ぐらいのアカウントの取り合いの流れは下記のようになる。もはや私以外誰も興味がなさそうな図になってきたが、今後類似案件でアカウントを乗っ取られたり横取りされた方がいたら、参考になれば幸いである。散々twitter社をディスってしまったが、最終的には話を聞いてもらえたので、頑張った甲斐があったと思う。
https://gyazo.com/e82ce1b5014c99890a6363b3a76a5b19
字下げ.icon最後に、似たような被害に遭った方のために、今回行動するときに私が注意していたことをまとめて終わりにしたい。
ヘルプセンターには似たようなフォームが沢山ある。利用者からは見分けがつかないが、おそらくtwitter側の対応フローが違うので、少しでも関係のありそうなフォームからは全て報告する。内容は同じで良い。あるフォームで「対応できません」という自動応答が来ても、別のフォームからは来ない場合もある。人間が相手だとこのような行為は迷惑かもしれないと考えて手が止まってしまうかもしれないが、基本的にtwitterからは自動応答しか来ないので、利用者側もそれを前提とした行動を取るのが良いだろう。 証拠をできる限り残しておく。twitter社から届いたログインアラートやフォロー通知メール、乗っ取られる前のブラウザキャッシュ、スクリーンショットなど。Twilogも証拠を残すのに便利だし、これはRead権限しか取らないので比較的安全である(今回Twilogが無かったら、どうやって乗っ取られたのか分からなかった)。twitterにログインしていた古いデバイスがもしあれば、ログアウトされる前に機内モードにしてログイン中のスクリーンショットを取っておくとよい。 @TwitterSupportに問題報告するのも有効かもしれない。このアカウントの「ツイートと返信」欄を見ると分かるが、たまに変則的な返事をするものの、決まった文字列に反応するbotに近い運用がされている。反応がもらえているアカウントの文章を真似すると良いと思う。 (これが効果があったのか結局分からないのだが……)SNSでバズらせる。
今回詳し目に経緯を書いたのは、半分は忘備録用だったのだが、もう半分はSNSで拡散すると運営の目に留まるかもしれないという期待があったからである。そのため、事実を淡々と列挙するのではなく、推理小説風に私の体験を読者に追体験させるようにした。また、読者がひとこと言いたくなるように、要所要所で自分の意見を挟むようにした。
Scrapboxをご存じの方はこの記事がScrapbox的な箇条書きやブラケティングをあまり利用せずに書かれていることが分かると思う。これは大変便利で普段は私も大いに利用しているのだが、今回はScrapboxユーザーの外側にもバズらせたかったので、あえて単独のページで成立するような記事の書き方をした。