twitterアカウント@yanmaが乗っ取られた
2021-07-23 11:00頃追記
2021-04-04 17:30頃追記
2021-04-03 22:55頃追記
Twitterで拡散され始めているため、誤解のないように補足しておきます。私のアカウントが乗っ取られたことは事実ですが、私はTwitterのセキュリティ設定のうち、「2要素認証」と「追加のパスワード保護」をいずれもデフォルト設定のままOFFにしていました。これらのいずれか一つでもONになっていた場合、今回の手口は使えない
可能性があります(Twitterのセキュリティ周りの仕様が不明なため推定)。
しかし、「2要素認証」はともかくとして、「追加のパスワード保護」がデフォルトでOFFになっているのはWebサービスのセキュリティ上正しい設計なのかどうかかなり疑問です。私はこの設定の存在を知らず、パスワードのリセット要求がされると少なくとも一回はログインアラートが来て阻止するチャンスがあると考えていました。
経緯
2021年3月23日12時半頃、いつも使っていたアカウント@yanmaが急に知らないものになっていることに気付いた。下記はgoogle cacheからのため若干表示が崩れているが、乗っ取られる前のスクリーンショットである。日頃からなんでもないtweetしかしていないのだが、10年以上使っている愛着のあるアカウントだった。
下記が乗っ取られた直後のスクリーンショットである。ヤンヤンマ(ポケモン)のアイコンを使っている。もしかしたら、5文字でyanmaというスクリーンネームを使いたかったのかもしれない。
この時点では何が起きたのかよく分からず、混乱しながらスマートフォンやタブレット端末からログインを試みたが全て失敗した。
全端末でログアウト状態になっている。またメーラーの受信トレイを見てみると、twitterから下記のようなメールが届いていた。よくあるログインアラートではなく、twitterのアカウント登録の最終段階のようなメールである。
嫌な予感がしたのですぐにクリックはせず
パスワードリセットを試みたが、間違いなく@yanmaに紐づけてあったはずのメールアドレスが@yanmaのものではないと言われてしまう。「いや、そのアドレスにFinal Step...が届いているのですが?」と言いたい気持ちを抑えつつ、いろいろ調査を続けていくうちにやはりアカウントを乗っ取られているらしいことが分かり、徐々に血の気が引いていった。あれ、これ詰んでないか……?
とにかく、まずは情報収集をしようと思い、
Twilogで@yanmaの最近のtweetを調べてみると、私のものではないtweetが投稿されていることが分かった。bookmeterのハッシュタグが付いているので、これは
読書メーターの「つぶやき」がSNS連携機能でtwitter側にも投稿されたものである。ということは
読書メーターのログインパスワードが漏れている。確かに読書メーターのアカウントは2008年に登録した古いもので、その時のパスワードはあまり強い文字列ではなかった。twitterとの連携を切っておかなかったのが悔やまれる。しかし、読書メーターに不正ログインされただけでtwitterのアカウントまで乗っ取ることが可能なものだろうか?
乗っ取られた二回のtweetはいずれも
@SupportRequests #番号 という特徴的な形をしている。そこで、この文字列でgoogle検索してみると、
Yahoo!知恵袋の書き込みが見つかった。どうも、twitterアカウントのパスワードリセットを
そのアカウントに紐付いていないメールアドレスでリクエストすることができ、その場合はtweetで本人確認をするらしい。twitterからワンタイムパスワードのような数字の羅列を貰い、リセットしたいtwitterアカウントでその数字をtweetすることができたら本人とみなすということだろう。
plainご連絡ありがとうございます。
アカウントに連携されているアプリでツイートできる可能性があります。アカウントを所有していることを確認するため、iOS、Twitter for iPhone、モバイルサイト (mobile.twitter.com) のいずれから以下のメッセージを含めて、@わたしのアカウントからツイートしてください。
@SupportRequests #数字の羅列
プライバシーの理由から、メールアドレスや個人情報などをツイートに含めないようご注意ください。
ツイート後、このメールに返信してアカウントに登録されたいメールアドレスをお知らせください。そのメールアドレスが、現在別のTwitterアカウントに登録されていないことをご確認ください。
よろしくお願いいたします。
Twitter サポートチーム
しかしこの場合、
twitterに対して書き込み権限を渡しているサードパーティ製アプリのうちどれかを乗っ取ることができたらtwitterの書き込み権限だけでなくtwitterアカウントそれ自体も乗っ取ることができてしまう。今回、twitterから来たメールは例の「Final Step...」だけであり、「あなたのメールアドレスが変更されますよ、これはあなたですか?」といった通常のログインアラートは一通も来なかった。これはいくらなんでも乱暴な仕様ではないだろうか? アカウントに紐付いているメールアドレスにアクセスできない状況を想定しているのかもしれないが、
仮にそうだったとしても念押しでメールを送って一定時間本人から拒否が来ないことを確認するべきではないか?
いずれにせよ、犯行の手口はぼんやりと見えてきた。犯人は、読書メーターからのつぶやきを通じて@yanmaのメールアドレスを変更してしまったのだろう。しかし乗っ取られた@yanmaのプロフィールを見ると、不審な点がまだある。私が使っていた古い@yanmaは登録日が2009年2月からになっていたのだが、新しい@yanmaは2012年9月からになっている。twitterはアカウント名やメールアドレスは変更できるが、登録日は変更できないはずだ。であるならば、古い@yanmaが別のスクリーンネームに変えられてしまい、空いた@yanmaを新しい別のアカウントが名乗っているという状況が予想される。
つまり、@account_Yだったものが新しい@yanmaになっているのとは別に、@account_Xに相当するものが存在するはずだ。乗っ取られた私のアカウントは現在、新しい@yanmaではなく@account_Xになっていると考えられる。この状況で@account_Xのスクリーンネームを調べる方法はあるだろうか? 幸い、私とやり取りしていたリプライやDMが残っており、すぐにそれを特定することができた。
このリプライは私宛のものなのだが、見慣れない@f**rz10というアカウントへのリプライが含まれている(差別表現のため伏せ字にした)。このようなリプライやDMの履歴が多数見つかったため、@account_X=@f**rz10であると考えられる。@f**rz10は既に凍結されており、過去のtweetを見ることができない。万が一犯人がパスワードやメールアドレスを変えていなければ取り返せると思い
パスワードリセットを試みたが、下記のエラーメッセージが出てきてそれ以上進めなくなった(心臓に悪いので隠したが、男がこちらに銃口を向けているアイコンである。マスクのない画像も用意したが、不愉快な画像のため、自己責任で御覧頂きたい:
スクリーンショット)。
結局スクリーンネーム、メールアドレス、パスワード、アイコンなどが全て変更されており、挙句の果てに携帯電話番号を登録されているため一切アクセスできない状態になっているようだ。悪意のある第三者が本人にメール通知なしでこの状態に持っていけるのはセキュリティ上正しい挙動なのだろうか? twitter社はこのパスを把握しているのだろうか? 疑問は尽きない。
やったこと
Twilogにはこの時点では私のtweetが残っていたが、消えるのは時間の問題と予想されたため、まずこれをローカルに保存した(実際、23日夜にはこのデータはWebから消えてしまった。あとから気付いたがこのとき保存したデータは不完全だったため、私の過去のtweetの一部にはもうアクセスできなくなってしまった……)。
読書メーターにも状況を説明し、twitterに連動投稿された読書メーター側の「つぶやき」のアクセスログが取れないか確認をお願いした。その「つぶやき」のURLはTwilogに残っていたデータから下記の二件であると分かっているのだが、既に何らかの理由で消去されてしまったようだ。
なお、これらの「つぶやき」は消去されているものの、これらに近い番号の「つぶやき」を見ると
220963491が2021/03/23 05:33、
220969187が2021/03/23 10:25であり、Twilogに残っていた時刻と非常に近いため、読書メーターに犯人が一時的に「つぶやき」を残した可能性は高いと考えられる。そのアクセス元のIPアドレスなどが読書メーターに残っていればもしかしたら犯人を絞り込むことができるかもしれない。
twitterに
ヘルプセンターから通報も行った。このサイトは非常に入り組んでおり、窓口によっては下記のような自動返信が来て対応を打ち切られてしまう。いろいろ書いても読んでいる気配がないため心が折れるのだが、複数箇所から虱潰しにレポートを上げていくと中には打ち切りメールが来ない窓口もあったため、もしかしたら受理してくれる可能性があるかもしれない。ただし、今のところ自動応答以外のメールは来ていない。
不正アクセス禁止法の被害者になるという貴重な経験をしているような気がしてきたので、この際警察にも連絡をしてみた。
警察庁のリンクから該当の窓口に電話すると、一応状況は理解してくれて、独自に捜査してくれるらしい。twitterには
執行機関/捜査機関向けガイドラインというものがあり、一般ユーザーからの申請は無理でも警察からであれば聞き入れてくれる可能性がある。「個人情報の開示には呼出状または裁判所命令が必要」とのことなのでハードルは高そうだが、一応その道を開いておくことは大切かもしれない。
現状
各レポート先の対応待ちである。読書メーターと警察からは調べてくれる旨回答があったのだが、肝心のtwitterから自動応答以外の連絡がないためアカウントを取り返すのはかなり難しそうである。もし他にやれそうなことがあれば、どこからでも良いので私に連絡をいただけると助かります。
メール: PastelParasol@gmail.com
