twitterで無闇に承認しない

twitterで勝手にDMやtweetをされてしまう悪質なスパムサービスが流行っているようです。

流行っていると言っても私のフォロワーさん２名ほどが被害にあっただけですが。

これはIDとパスワードが外部に流出したという深刻な問題ではありません。

これは「連携アプリ」の機能を悪用されたもので単に被害者がスパムサービスに対してtwitterアカウントへのアクセス許可を与えてしまっただけです。

URLを踏むと

おそらくこんな感じのページが表示されます。

URLはtwitter.comになっていて確かに正規のtwitterのWEBサイトなのですが安全だと思って盲目的に許可を押してはいけません。

注目して欲しいのは赤枠で囲った部分です。

信頼できるアプリケーションである場合のみ、「許可する」をクリックしてください。このアプリケーションにあなたのアカウントへのアクセス権を許可するこ とは、Lotterに対してあなたのダイレクトメッセージへのアクセス権を与え、あなたの代わりにツイートする権限を与えることになります。

注意：Lotterは私が作った健全なアプリです。危ないものではないですよ。

このように注意書きが書いてあり、このページは外部アプリケーションに対してあなたのtwitterアカウントに対するアクセスを許可するかどうかの確認ページであることがわかると思います。

「許可をする」を押すと該当アプリがあなたのtwitterアカウントにアクセスすることが出来ます。

良心的なアプリであれば、あなたの操作に基づいてtweetを行ったり、自動的に動作するにしてもあなたの事前の設定に基づいて行われます。

悪質なアプリの場合はあなたの意思にかかわらずダイレクトメッセージの送信やtweetを行う可能性があるので無闇に「許可する」のは危険です。

例えばこれが英語に変わっていたり

Denyは「拒否する」、Allowは「許可する」です。海外サービスを利用することがあるなら覚えて損はない単語です。

英語がわからなければなんとなく青く強調されたAllowを押してしまう人がいるんじゃないでしょうか？

更にドイツ語になってたり

さらに、こんなふうにドイツ語に変わってしまったら雰囲気で青いボタンを押す人も多いかもしれません。

自分が理解出来ない言語のページが開いたら閉じましょう。

引っかかってしまったら

twitterの「連携アプリ」のページから該当のサービスへの許可を取り消してください。

「連携アプリ」で許可を取り消せば以後は悪質なサービスがあなたのアカウントへアクセスすることは出来なくなるので安全です。

そして知らないフォロワーやお気に入り、リストが増えていたり、プロフィールが改ざんされていないか確認して下さい。

この問題に対して感染という言葉が使われることがあるようですが、ウィルス等に感染したわけではないので誤解まねく不適切な言葉だと思います。

ひっかかったとしてもアカウントのパスワードやら個人情報が漏れるわけではありません。

予防策

ユーザが自発的に悪意のあるサービスに許可を与える形になるのでセキュリティソフト等も検知しません。

怪しいURLを踏まない、踏んだとしても飛び先でなにもしないというのが有効な対策です。

ただ、twitterで多用される短縮アドレスなどは飛び先が事前にわからないという問題もあります。

twitterクライアントの中には短縮URLを展開してくれるものもあるのでそういったツールを使って事前に確認するのも手です。

twitterクライアントのTweenなんかは短縮URLを展開してステータスバーに表示してくれます。

FirefoxなんかではアドオンのGreaceMonkeyとTinyURL Decoderを使うことでWEBページ上の短縮URLを展開したものに置き換えてくれます。

http://cutplaza.chu.jp/blog/2009/08/tinyurl-decoder-for-greasemonkey.html

tweetするときも文字数が足りるなら短縮URLを無理に使わないことを心がけると良いかもしれないです。

個人的に何でもかんでも短縮URLを使うtwitterの流れは好きではないですね・・・