Twitterの乗っ取りが多いのは『外部アプリ認証』でのパスワード要求にあるのでは?
ガジェット通信 / 2013年2月26日 2時0分
最近ではアカウントの乗っ取りが多くなってきました。特に多いのが「フィッシング詐欺」と呼ばれる方法で、見た目が似たようなサイトに誘導してIDとパスワードを再度入力させる手口です。特に多いのがTwitterのアカウントでした。元大阪知事の橋下徹さんや、自動車ブランドの『ジープ』のアカウントも不正にアクセスされた話は新しいです。
不正アクセスされた『ジープ』ブランドの公式Twitterアカウント 別会社のブランドの『キャディラック』に書き換えられている。
●何故Twitterが多い
アカウントを奪われるといれば『Twitter』という感じになってきました。 IDとパスワードという仕組みに問題があるとも言われていますが、この問題であればほぼすべてのログインが必要なサービスはすべて同じように乗っ取りがあってもおかしくないと考えます。 そこで、『Twitter』が何故多いのか考えてみました。
●Twitterには『外部アプリケーション認証』がある
ショッピングサイトやオークションサイトには無く、『Twitter』にある機能は『外部アプリケーション認証』です。 この機能は、Twitterに関連付けたサイトであれば、ユーザに代わってメッセージを送ることができる機能です。 一度、認証すれば許可されます。 この、認証時にTwitterにログインしていれば認証しますか? という表示になります。 しかし、『Twitter』にログインしていない場合はIDとパスワードを入力する画面になります。
Twitterにログインしている場合は「ログイン」「キャンセル」の選択画面になる
Twitterにログインしていない場合はIDとパスワードを求める画面になる。この画面は外部サイトから遷移した画面なので、偽装された可能性も無いわけではない。
●問題は外部アプリケーション認証時にTwitterのIDとパスワードを求めること
『外部アプリケーション認証』を行った場合に、Twitterにログイン済みの場合は連携するかしないかの選択がでます。 しかし、Twitterにログインしていない状態で認証した場合には、TwitterのIDとパスワードを入力する画面が出ます。
この、外部サイトから遷移した後にIDとパスワードを求めるインタフェースにこそTwitterの問題があると考えます。 悪意があるサイトが、Twitterの外部認証もどきのサイトを作成することが可能であるためです。
●私が考える安全なTwitterインタフェース
パスワードを求めるURLは同一なものにします。 たとえば www.twitter.com/という画面以外では一切のIDとパスワードの要求はしないという声明を出すことです。 次に、Twitterにログインしていない状態で『外部アプリケーション認証』を行った場合は、
「Twitterにログインしていません、あらかじめtwitterにログインしてから再度認証作業をしてください」
というメッセージに変更すればTwitterのIDとパスワードが悪意のあるサイトに漏れることはなくなるのではと考えます。
[解放軍]Twitter乗取りが多いのは「外部アプリ連携」に問題 - YouTube
http://youtu.be/NJgohr6zOfc
外部リンク
この記事に関連するニュース
-
誰もが平等に、安心して、サービスを享受できる社会の実現へ。 株式会社PAY ROUTE、日本介護事業連合会のFinTech推進委員会に協賛会員として参画。
PR TIMES / 2024年12月3日 13時45分
-
【再度の注意喚起】広島銀行を装った偽SMS(ショートメッセージ)・偽電子メールについて
PR TIMES / 2024年11月29日 10時15分
-
Datadog 、「2024年クラウドセキュリティの現状」レポートを発表、すべての主要クラウドにおいて長期間変更が加えられていない認証情報の取り扱いに改善の余地ありとの見解を示す
PR TIMES / 2024年11月25日 16時15分
-
フリーWi-Fiに潜む危険?リスク認識と対策は URLや速度に留意、設置側もメンテナンス必須
東洋経済オンライン / 2024年11月21日 8時0分
-
「え、こんなところからマルウェアに感染?」 BYODに潜む大きな“ワナ”
ITmedia エンタープライズ / 2024年11月19日 7時15分
ランキング
-
1「28歳で死去」 NiziUやStray Kidsのメンバーと“元同期の人気キャスター”の訃報に「信じられない……」悲しみの声相次ぐ
ねとらぼ / 2024年12月10日 18時9分
-
2マイクロソフト「Windows 11 24H2」Outlookが起動できない不具合
ASCII.jp / 2024年12月10日 12時0分
-
3前澤友作氏のKABU&モバイルにやまぬ批判 ソフトバンク回線の提供再開も、「SIMカード届かず」「サポートにつながらず」
ITmedia Mobile / 2024年12月9日 19時29分
-
4ドコモ、サムスン「Galaxy S24」大幅値下げ 量販店「1円」販売も
ASCII.jp / 2024年12月9日 14時35分
-
5「ひどすぎワロタ」 サンリオの“あの人気キャラ”のぬいぐるみが…… 270万表示された“まさかの表情”にネット大爆笑
ねとらぼ / 2024年12月10日 21時30分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください