Twitterの乗っ取りが多いのは『外部アプリ認証』でのパスワード要求にあるのでは?
最近ではアカウントの乗っ取りが多くなってきました。特に多いのが「フィッシング詐欺」と呼ばれる方法で、見た目が似たようなサイトに誘導してIDとパスワードを再度入力させる手口です。特に多いのがTwitterのアカウントでした。元大阪知事の橋下徹さんや、自動車ブランドの『ジープ』のアカウントも不正にアクセスされた話は新しいです。
不正アクセスされた『ジープ』ブランドの公式Twitterアカウント 別会社のブランドの『キャディラック』に書き換えられている。
何故Twitterが多い
アカウントを奪われるといれば『Twitter』という感じになってきました。 IDとパスワードという仕組みに問題があるとも言われていますが、この問題であればほぼすべてのログインが必要なサービスはすべて同じように乗っ取りがあってもおかしくないと考えます。 そこで、『Twitter』が何故多いのか考えてみました。
Twitterには『外部アプリケーション認証』がある
ショッピングサイトやオークションサイトには無く、『Twitter』にある機能は『外部アプリケーション認証』です。 この機能は、Twitterに関連付けたサイトであれば、ユーザに代わってメッセージを送ることができる機能です。 一度、認証すれば許可されます。 この、認証時にTwitterにログインしていれば認証しますか? という表示になります。 しかし、『Twitter』にログインしていない場合はIDとパスワードを入力する画面になります。
Twitterにログインしている場合は「ログイン」「キャンセル」の選択画面になる
Twitterにログインしていない場合はIDとパスワードを求める画面になる。この画面は外部サイトから遷移した画面なので、偽装された可能性も無いわけではない。
問題は外部アプリケーション認証時にTwitterのIDとパスワードを求めること
『外部アプリケーション認証』を行った場合に、Twitterにログイン済みの場合は連携するかしないかの選択がでます。 しかし、Twitterにログインしていない状態で認証した場合には、TwitterのIDとパスワードを入力する画面が出ます。
この、外部サイトから遷移した後にIDとパスワードを求めるインタフェースにこそTwitterの問題があると考えます。 悪意があるサイトが、Twitterの外部認証もどきのサイトを作成することが可能であるためです。
私が考える安全なTwitterインタフェース
パスワードを求めるURLは同一なものにします。 たとえば www.twitter.com/という画面以外では一切のIDとパスワードの要求はしないという声明を出すことです。 次に、Twitterにログインしていない状態で『外部アプリケーション認証』を行った場合は、
「Twitterにログインしていません、あらかじめtwitterにログインしてから再度認証作業をしてください」
というメッセージに変更すればTwitterのIDとパスワードが悪意のあるサイトに漏れることはなくなるのではと考えます。
[解放軍]Twitter乗取りが多いのは「外部アプリ連携」に問題 – YouTube
http://youtu.be/NJgohr6zOfc
- ガジェット通信編集部への情報提供はこちら
- 記事内の筆者見解は明示のない限りガジェット通信を代表するものではありません。