診断系にTwitterが乗っ取られていると思ったら

なぜ人類は最初にパスワードを変更しようとするのか? / 2022-10-15T00:00:00.000Z

Twitterライフ、楽しいですか? 私は楽しいと感じていると思い込むようにしています。

さてTwitterではたまに「フォロワーを勝手に家族にしてみた」や「運命の人診断」というような趣旨の、俗に「診断系」と呼ばれるサイトで生成した文字が含まれているツイートが流れてくることがあります。このようなサイトは自分の周囲の人間との関係を面白おかしく機械が表現してくれることから、面白いと思って自らもそのサイトにアクセスし、自分のアカウントを起点とする「診断」を行うということはよくあることでしょう。

しかしながらそういった診断系サイトの中には悪質なものがあり、様々な被害を及ぼします。例えば診断の過程で得たTwitterアカウントへのアクセスを用いてスパムツイートをしてしまったり、FFの関係性にある人に対してDMで悪意のあるメッセージを送信してしまったりすることが発生します。こういった状況を世間では「(診断系による)乗っ取り」と表現されています。

そうなった場合もしくはそのような状態になっていると感じた場合、Twitterユーザーはどのようにすればいいかをざっくりとまとめてみました。定義は極めてゆるゆるなので、気になる方はこのページで検索ワードを手に入れて自らの手で検索してみることをお勧めします。

結論

  1. 診断系メーカーがパスワードを直接手に入れることはほとんど無い
  2. 「連携しているアプリ」から確実にホワイトなもの以外を切ろう

Twitterと黒い画面

まず初めに普段人類はどのようにして自らのTwitterアカウントへのアクセスを得ているのかについて考えていこうと思います。まずTwitterアカウントへアクセスしたい人は、

  1. アカウント名(もしくはそれに紐づけられた電話番号など)
  2. パスワード

の2つを持っている必要があります。このうちアカウント名は公開情報なので、パスワードを追加することでそのアカウントの持ち主かどうかをチェックして安全を確保しているといえます。Twitterの公式クライアントやTweetDeckにアクセスするときに使う見慣れた方式といえるでしょう。

しかしながらTwitterにアクセスするのは人間だけではありません。例えばGoogle検索のためのクローラーやTwitterに投稿されたコンテンツを用いて分析や付加価値を付与するアプリケーションがその例に挙げられます。そうしたアプリケーションが欲しているのは人間向けのもの…というよりは、黒い画面での処理に適したもの、例えば「テキストだけ」の情報や「そのツイートに付いたリプのURLリスト」の情報といったものです。

こうした情報は目に見えづらくとも人間がTwitterを用いる時にも使われてこそいますが、人間向けのTwitterは余計な装飾であったり謎のローディングアニメーションが付いたりしています。そうなってしまうととてもではありませんが、黒い画面で扱うには一手間も二手間もかかってしまい非常に面倒なことになってしまいます。

そのような開発者のためにTwitterには「API」というものが存在します。Twitterに限らず特定のアプリケーションが外部とつながるために置いている「窓口」のようなものを一般にAPIというのですが、この記事では簡単のため「API」という言葉をTwitterのものだけに限定させて使わせてください。

このAPIというものを使えば、インターネット経由でTwitterのAPIに接続できる限り、黒い画面で色々するにはものすごく楽な形(少なくとも人間向けのTwitterをコネコネして抽出作業を行うよりは楽な形)でTwitterにおける様々な情報を取り出すことが出来ます。またTwitterに対して「このアカウントで○○というツイートをしろ」といった命令を送ることが可能です。このAPIのおかげで様々な開発者はTwitterの機能の一部を簡単に自分のプロダクトに含めることが可能となっており、極めて有用なものといえます。

APIはTwitter上の公開情報を収集するだけならまだしも「このアカウントで○○というツイートをしろ」といった命令を実行しうるので、基本的にどのようなアプリケーションでAPIを使うにしても (極めてザルな) 審査を受けてTwitterのAPIにアクセスするための特別な鍵をもらう必要があります。また、「このアカウントで○○というツイートをしろ」という時は「このアカウント」の所有者に対して「ツイートする許可」というものを予め取っておくような仕組みになっています。この許可を得ることでAPIに対する鍵を適切に持っているアプリケーションは、許可を取ったアカウントで鍵と許可さえあればツイート出来るようになります。

許可を取る時はAPIという名前で聞くというものではなく「連携アプリを許可しますか?」といった文言で許可を求めてきます。

知らないうちにOKサイン

このように聞くとAPIと連携アプリは極めて安全なもののように聞こえます。しかしながらこの連携アプリ、一回でも許可をしてしまうとその許可を取り消さない限り「許可があるから好きなことするぽよ~~~!」といった動作が許可の範囲で可能となっています。もしあなたが悪意のある人ならばこの「好きなこと」を出来るようにするためには、どうしたらいいのか思案に暮れている人がいるかもしれません。

残念ながら同じことを考えている人は大量にいるので、やりたいことを隠して連携アプリの許可をさせるということが盛んにおこなわれています。思案に暮れていた人、新規性ありませんよ。

といっても押しボタン症候群でもない限り人類は不必要なボタンを押すことはあまり多くありません。そこで活用されるのがいわゆる「診断系サイト」です。あなたとフォロワーの関係性を明らかにするという触れ込みで連携アプリの許可を行わせ、それっぽい見た目の診断結果をAPIを用いて適当に生成している裏でアカウントへのアクセスをちゃっかり確保し、「好きなこと」を行います。

注意していただきたいのですが、このような診断系サイトによるあなたのアカウントへのアクセスにはパスワードを一切用いていません。先述の通り必要なのは、

  • Twitterのザル審査を経て得られる鍵
  • あなたの許可

の2つです。このうち前者はTwitterの運営が、後者はあなたが出しているものです。つまりどちらかが失われれば、連携アプリ(API)はあなたのアカウントにアクセスできなくということです。パスワードは関係なく、診断系サイトによって乗っ取られていると感じたときは「あなたの許可」を取り消し、Twitter運営に対してそのアプリは危険であると通報することで対処することが出来ます。

繰り返しますが、アカウントへのアクセスとパスワードの変更は関係ありません。一応乗っ取られていると感じたらば、パスワードを変更し現在使用しているデバイス以外からアクセス出来ないするようにすることに全く意味が無いわけではありません。パスワードを不正に入手して誰かがあなたのアカウントに不正アクセスしていることもあるからです。しかしながらそれで解決できたと思い込むことは危険なので、下に示す設定方法で確認することもおすすめします。

設定方法

というわけで連携アプリケーションの設定を確認する方法をざっくりと示しておこうと思います。

まず初めにTwitterのホーム画面から「設定とプライバシー」を開きます。

Twitter Config 1

次に「セキュリティとアカウントアクセス」という項目を探し、その下にある「アプリとセッション」をクリックします。

Twitter Config 2

そこからさらに「連携しているアプリ」を選択すると以下のような画面が出てくるかと思います。

Twitter Config 3

この画面では先程説明させていただいたAPIを利用するアプリケーションのうち、設定を開いているアカウントを通して情報を取得したりアカウントを操作したりすることが許されているものが一覧で表示されています。ここからそれぞれのアプリケーションに対する連携の取り消しを行うことが出来るので、不審な動作をしている連携アプリ、特に「乗っ取り」に合う直前や数日前に許可したものに対して連携の取り消しを行いましょう。

100%とは言えませんがこのようにすることは、便利な連携機能を悪用した乗っ取りに対して対処する一つの方法です。

関連リンク

最後に

簡単になるように善処はしたので許して。

長々と解説しましたが、目的と動作が明らかになっておりかつ信頼出来るもの以外は基本的に連携を許可しないことで、ある程度そういった「診断系」による乗っ取りを防ぐことが出来ます。当たり前と言えば当たり前なのですが。というわけでこれを機に今一度自身の使用しているアカウントであったり、周囲のユーザーのアカウントでクリアな目的と動作・信頼が無いアプリケーションに対して連携の許可を与えていないかを確認してみてはいかがでしょうか。

Writer

Osumi Akari