スパム

2015年01月18日

1.概略

本日(1/18)の正午頃より、私のTwitterアカウントからUGGの広告を銘打ったスパムツイートが多数送信されていました。

最初のスパムツイートから約10分後に事態に気づき、パスワード変更・連携アプリ解除・当該ツイートの削除・登録メールアドレスの変更などの対応を取りました。

確認の結果、異なるwebサービスで同一のID・パスワードを使用していたために、別サービスから流出したパスワードを用いて何者かが当Twitterアカウントに不正ログインしていた可能性が高いと判断しました。

もしも被害に遭われた場合は、速やかにパスワードを変更することをオススメします。また、周りの方はスパムツイートを見かけたら本人に知らせてあげてください。意外と本人は気づかないものです。

※2/12追記 
本記事より3週間遅れですが、某ネットニュースでもTwitterスパムの一件が話題になりました。
言いたいことは全部記事に書かれちゃいましたので、以下は一被害者による当時の記録としてお読みください。


2.時系列

11:42 アカウント乗っ取り前の最後のツイートを発信
 内容は「ゼミ発表の準備したくない」的なもの。
 この際、自分のリストなどを確認しているが異常は無かった。

11:45頃 寝坊したので録画したプリキュアを見始める
 以降、プリキュア終了までの30分ほどPC公式からTwitterにログインせず
 iPad端末から2chまとめにはアクセスしていたが、新たなTwitter連携は使用せず

12:00頃 当アカウントよりスパムツイートが送信される
 以降、1分あたり5ツイートほどのペースで送信され続ける

12:04頃 フォロワーが、当アカウントがスパム乗っ取りを受けたことに気づく
 「スパム踏んでるwww」「アダルトサイトでも見てたのかwww」といったツイートが続出
 なお、この時点で当アカウント宛へスパム被害を知らせるリプライは無し

12:09  フォロワーより「スパム処理頑張ってください」とのリプライを受け取る

12:10  リプライ欄を確認、スパム乗っ取りを受けてることを把握
 プリキュア終了後、リプライ欄のツイートを見てはじめて事態を察知
 当アカウントからスパムツイートが送信されていることを確認した
 
12:11  パスワードを変更、スパムツイートが止まる

12:17頃  スパムツイートを全削除、連携アプリを全解除
 連携アプリに関しては定期的に確認していることもあり、怪しいものは無し
 フォロワーによる12:04頃のツイートを確認したのはこのタイミング


3.その後の対応

事態を把握した後、私が取った対応策は以下の5点です。

(1)パスワードの変更
(2)連携アプリの全解除
(3)該当ツイートの削除
(4)登録メールアドレスの変更
(5)現在休止中のアカウント・作成したbotの削除

(1)のパスワード変更については言わずもがな。
事態発覚後すぐに実施し、その後スパムツイートも止まりました。
念の為、パスワード変更後に1度ログアウトしておきました。
既にログインしてある端末からは、パスワード変更しても引き続きツイート可能だからです。
一度ログアウトすることで、全ての端末について再ログインが必要となります。

大抵のスパムの場合、(2)の連携アプリの解除が有効です。
見に覚えの無いアプリとの連携がスパム被害に繋がる事例が多数報告されています。
しかし、普段から1~2週間おきに連携アプリを確認・不要なものを削除しており、
ここ数ヶ月で新たに連携したアプリも存在しないことから、今回に関しては可能性は低めでした。

とりあえずの対処療法を行った後、(3)該当ツイートの削除を行いました。
当アカウントのフォロワーのタイムラインをスパムツイートで埋め尽くしており、
タイムラインを遡る際に支障になる&広告先のリンクに飛んでしまう恐れがあるためです。
1つ1つ手作業で削除しなければなりませんでしたが、発見が早かったのがせめてもの救いでした。

(4)登録メールアドレスの変更は、ちょっと説明が必要です。
というのも、スパムツイートの1発目に登録メールアドレス由来の文字列が含まれていました。
ココで私は、Twitterと同じメールアドレスで登録している別サービスが原因だと判断しました。
なお、登録メールアドレスは5年ほど休止しており、パスワードも失念している状態です。
遥か昔なので、該当アドレスから同一パスで別サービスを使用した可能性は極めて高いです。
幸い、当該メールアドレスは現在休止中であったこともあったため、
登録メールアドレスを変更するとともに、当該アドレスをアカウントごと削除致しました。

(5)現在休止中のアカウント・作成したbotの削除ですが、
別アカウントで同様の事態が再発するのを防ぐための処置です。
普段は一切使わないため、同様の事態が発生しても発見が遅れる恐れがあります。
念の為にアカウントを残していましたが、この際に削除することに致しました。


4.原因

一連のスパムツイートが送信された原因としては、
同一メールアドレス(またはID)・パスワードを使用していた別サービスから情報が流出し、
その情報を使ってTwitterのアカウントが一時的に乗っ取られたことによるものだと思われます。

いわゆる「リスト型アカウントハッキング」「リスト攻撃」と呼ばれている、
不正入手したID・パスワードを用いて、様々なサイトにログインを試みるものに類似しています。 
したがって、上記対応策の(1)パスワードの変更を迅速に行うことが、
被害拡大を防ぐ際に有効に働いたといえます。

Twitterは、ID or メールアドレス + パスワードでログインが出来ます。
メールアドレス+パスワードの2つがバレていれば、他人から簡単にログインされてしまうのです。
そして、登録時にメールアドレス+パスワードを設定させるサービスは無数に存在しています。

特に私の場合は、流出したと思われるメールアドレスが現在休止中のもので、
このアドレスで登録した別サービスも、現在は把握すらしていないという管理の甘さが、
今回のような事態に繋がったのではないかと考えております。

一方で、一部サイトで出回っている「連携アプリを解除すればOK」というのは、
今回の件に関して言えば、問題の解決にはなっていないでしょう。


5.再発防止策

他のWebサービスと異なるパスワードを使う

コレに尽きます。

リスト攻撃に対する対処法も、「サービスごとに異なるパスワードを使うこと」とあります。

とはいえ、異なるパスワードなんて実際には覚えてられません。

私自身も複数のID×パスワードで十数通りの組み合わせを用いて管理していますが、
それでもログイン時には毎回混乱してしまいますし、それでも今回のように被害に遭いました。

パスワード管理ソフトなどを利用することで多少は楽になるかと思います。
が、やはり非現実的な対処法であることは変わりがないでしょう。

よくあるのは、メインの文字列(例:1234)を決めておいて、
Twitterだったらパスワードを「1234t」、facebookなら「1234f」のように、
サービス由来の文字を少し混ぜると多少は覚えられるとか、そういう管理法もあります。

とはいえ、新規作成のwebサービスだけではなく、
既に利用しているサービスでもパスワードを見直なければ本末転倒です。


6.その他の対応策

・webサービス登録用アドレスを、プライベート・仕事用のアドレスと分けておく


私個人の場合ですが、メールアドレスが原因だった可能性が高いと考えています。
仮にプライベートや仕事でも、流出したものと同一のアドレスを使用していた場合、
メールそのものへの不正アクセスが起こった際の被害は甚大なものになります。
万が一流出したリスクを避けるためには、「流出してもいいアドレス」があると便利かもしれません。


・スパムツイートを見かけたら、速やかにリプライ等で知らせる

今回の件では、フォロワーの方からのリプライによって初めて事態を認識しました。
通常は自分がツイートした履歴なんて確認しないので、送信してることにすら気づきません。
また、仮に周りが気づいても、「スパム踏んでるwww」といったツイート(俗にいうエアリプ)だけでは、
スパムツイートに埋もれたタイムラインを遡らないと事態を確認できず、解決には一切繋がりません。

仮にスパムを見かけたら、「www」よりも先に本人に教えてあげてください。


・使っていないwebサービスはアカウントを削除する

あまりに多数のwebサービスに登録していると、本人も全容を把握していません。
ですので、数ヶ月以上利用していないサービスは積極的に削除して断捨離すべきでした。
管理できないものはどんどん手放すのが、お部屋の掃除とネット世界の秘訣ですね。
今回のも放置してる幽霊サービス経由のが原因でしょうし。


7.参考サイト


今回のスパムツイートに関しては、以下のサイトに詳細な情報がまとめられています。
というか、以下のサイトを読んで頂ければ当ブログとかどうでもいいです。

「 saleonlines.net 」や「UGGの日本語版サイト」というスパムツイートに注意! Togetterまとめ

TwitterでUGGの広告が多発中: 独房の中 

これらのサイトの情報で特筆すべきは、
スパムツイートはTwitter web Client(公式)から発信されている等、
(アプリ認証ではなく)実際に何らかの形で実際にログインされており、
誰かが手動でスパムツイートが送信している可能性を指摘している点です。

私自身、アプリ認証に関しては思い当たる節が無いことや、
パスワードを変更した途端にスパムツイートが止まったことからも、
上記サイトの指摘は極めて正しいと感じています。


8.感想

実際にスパム乗っ取り被害を受けて思ったんですけど、
コレってもう不慮の事故の類ですよ。全力で回避するにはコストが掛かり過ぎます。
Webサービスごとにパスワードをいちいち変えるって相当面倒ですよ。えぇ。

確かにメールアドレスとかパスワードの管理が甘かったのは確かなんだけど、
全部5~6年前の設定に端を発しているし、その当時のことなんて把握しきれてないし。
強いて言えば、 今は使ってないサービスを削除せずに放置してたのが問題なんでしょうけど。
ブログ途中で飽きて放置してる人とか、きっと山のようにいるでしょう?

まぁ、、LINE乗っ取りといい、今回の件といい、
多分実際にログインして人力でツイートしてると思われるあたり、
ネット業界もずいぶんと原始的なことやってるなぁーって印象です。

とはいえ、今回のでTwitter冷めたので、次に似たようなことが起こったら辞めると思います。