2,500 を超える Twitter アカウントが侵害され、アダルト向けの出会いやセフレ紹介を専門とする Web サイトへのリンクをツイートしています。アカウントのプロフィール写真や自己紹介文、フルネームも書き換えられ、そうしたサイトの宣伝に利用されていました。攻撃者は、アフィリエイトプログラムを通じて、そのようなアダルト系サイトにユーザーをリダイレクトすることで利益をあげた可能性があります。
シマンテックの調査で侵害が判明した著名な Twitter アカウントのなかには、エレクトロファンクグループ Chromeo(クローメオ)が所有する複数のアカウントや、テレグラフ紙の国際的なジャーナリストのアカウントなども含まれていました。シマンテックの調査以外でも、スタンダップコメディアンの Azeem Banatwala 氏、ヒューストン・テキサンズのワイドレシーバー Cecil Shorts III 選手、さらにはニューヨークタイムズ紙のレポーターだった故 David Carr 氏まで Twitter アカウントを乗っ取られたと報じられています。
図 1. エレクトロファンクグループ Chromeo の Twitter アカウントが、詐欺行為の一環として侵入を受けた
注目に値する要因: ツイートに「いいね」を付け、ユーザーをフォローする
ツイートしたり、ユーザーにダイレクトメッセージを送ったりするのではなく、攻撃者は侵入したアカウントを使ってツイートに「いいね」したり、他のユーザーをフォローしたりしています。ユーザーが Twitter プロフィールに興味をもって調べてくれるのを利用するのが目的でしょう。
図 2. 侵害されたアカウントが、正規ユーザーのツイートに「いいね」する
侵害されたプロフィールにアクセスすると、Web カメラで「熱い場面」を視聴できるサイトに無料登録できる、あるいはデートや出会いがあると謳ったツイートが並んでいます。どのツイートにも、扇情的な写真と、Bitly または goo.gl(Google の URL 短縮サービス)を使った短縮リンクが含まれています。
アダルト出会い系サイト、セフレ紹介サイト
短縮リンクをたどると、アダルト向けの出会いやセフレ紹介を宣伝する中間ランディングページにリダイレクトされます。
図 3. アダルト出会い系サイト/セフレ紹介サイトのランディングページ
このランディングページで指示されるとおりにクリックすると、実際のサイトにリダイレクトします。このリダイレクトには、トラフィックのソースを示すアフィリエイトタグが含まれています。
この攻撃からリンクしているアダルト出会い系サイトには、トラフィックの誘導で報酬が発生する仕組みがあります。そのために利用されているのが、ユーザーの登録に応じて報酬を受け取れるアフィリエイトプログラムです。シマンテックの調べによると、Twitter アカウント侵害に関連するアフィリエイトは、Web サイトにユーザーが 1 人登録するごとに 4 ドル儲かることになっています。
侵害されたアカウント
侵害された Twitter アカウントの調査から、以下の点が明らかになりました。
- プロフィール写真、自己紹介文、フルネームが変更される。
- 最近のツイートには、扇情的な写真が添えられ、Web カメラの視聴とか刺激的な出会いといった内容が盛り込まれている。
- 過去のツイート、現在地、URL、ヘッダー画素(設定されている場合)は影響を受けない。
図 4. 侵害されたプロフィールでは、プロフィール写真と自己紹介文が新しくなっている
本来のプロフィール写真は、女性の写真に差し替えられる場合が多く、しかもたいていは、下着や水着を着た扇情的なポーズです。ただし、元のプロフィール写真がそのまま使われていることもあり、なかには新しい Twitter アカウントにデフォルトで付けられる「タマゴ」のアバターが使われている例もありました。
プロフィール写真が書き換えられるほか、侵害されたアカウントでは自己紹介文とフルネームも変更されます。最近では、「Hi!;) My login is [ランダムな名前と数字] on [短縮 URL]」というメッセージが付いているケースもあります。名前は、実在する名前を他のソースから取ってきているようです。
古いものほどお宝
調査の結果、シマンテックは 2,500 以上の Twitter アカウントが侵害されていることを確認しました。たとえば次のようなアカウントが含まれていることを示すデータもあります。
- 最も古いアカウントは、2007 年 12 月に登録されている。
- 侵害されたアカウントのうち 27% は、2011 年に作成されたもの。
- 侵害されたアカウントのうち 73% が、作成から 4 年以上経過している。
- 古いアカウントの大半は、所有者が使わなくなっており、最近新しいツイートがなかったもの。
図 5. 侵害されたアカウントの作成時期。アカウントのほとんどは、4 ~ 5 年が経過している
Twitter アカウントを保護するために
Twitter をよく使っていて、アカウントが侵害されたかもしれないという不安がある。そんなユーザーに向けて、アカウントを保護するためにできることをまとめました。
- 強力なパスワードを使い、パスワードは他のサービスと兼用しない: 侵害されたアカウントの多くは、弱いパスワードを使っていたか、パスワードを他のサービスと兼用していた可能性が高いと考えられます。
- パスワードマネージャを使う: パスワードの作成と管理を安全に行いたい場合は、パスワードマネージャをお使いになることをお勧めします。いろいろなツール(LastPass、1Password、Dashlane、KeePass、Password Safe、ノートン ID セーフなど)がありますが、必要と予算に応じて最適なものをお選びください。
- Twitter のログイン認証を有効にする: パスワードだけに頼るのではない方法です。ログイン認証を有効にすると、スマートフォンに送信されたコードの入力が必要になります。こうすると、セキュリティ層が増え、アカウントに不正アクセスされにくくなります。ただし、スマートフォンを紛失してしまうときに備えて、バックアップコードは必ず安全に確保しておいてください。
アカウントの侵害があったら Twitter に報告する
知り合いや、フォローしているユーザーのアカウントが侵害されたと考えられる場合は、そのアカウントを Twitter に報告できます。そのアカウントプロフィールで歯車アイコンをクリックして[報告]をクリックしてください。そこから[アカウントが乗っ取られているようです]を選択して次へ進みます。
図 6. 乗っ取られたアカウントを Twitter に報告
シマンテックは、Twitter、Bitly、Google の各サービスに通知し、今回明らかになったアカウントとそこで使われている短縮 URL のデータも提供しました。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】