Twitterの乗っ取りが多いのは『外部アプリ認証』でのパスワード要求にあるのでは?
ガジェット通信 / 2013年2月26日 2時0分
最近ではアカウントの乗っ取りが多くなってきました。特に多いのが「フィッシング詐欺」と呼ばれる方法で、見た目が似たようなサイトに誘導してIDとパスワードを再度入力させる手口です。特に多いのがTwitterのアカウントでした。元大阪知事の橋下徹さんや、自動車ブランドの『ジープ』のアカウントも不正にアクセスされた話は新しいです。
不正アクセスされた『ジープ』ブランドの公式Twitterアカウント 別会社のブランドの『キャディラック』に書き換えられている。
●何故Twitterが多い
アカウントを奪われるといれば『Twitter』という感じになってきました。 IDとパスワードという仕組みに問題があるとも言われていますが、この問題であればほぼすべてのログインが必要なサービスはすべて同じように乗っ取りがあってもおかしくないと考えます。 そこで、『Twitter』が何故多いのか考えてみました。
●Twitterには『外部アプリケーション認証』がある
ショッピングサイトやオークションサイトには無く、『Twitter』にある機能は『外部アプリケーション認証』です。 この機能は、Twitterに関連付けたサイトであれば、ユーザに代わってメッセージを送ることができる機能です。 一度、認証すれば許可されます。 この、認証時にTwitterにログインしていれば認証しますか? という表示になります。 しかし、『Twitter』にログインしていない場合はIDとパスワードを入力する画面になります。
Twitterにログインしている場合は「ログイン」「キャンセル」の選択画面になる
Twitterにログインしていない場合はIDとパスワードを求める画面になる。この画面は外部サイトから遷移した画面なので、偽装された可能性も無いわけではない。
●問題は外部アプリケーション認証時にTwitterのIDとパスワードを求めること
『外部アプリケーション認証』を行った場合に、Twitterにログイン済みの場合は連携するかしないかの選択がでます。 しかし、Twitterにログインしていない状態で認証した場合には、TwitterのIDとパスワードを入力する画面が出ます。
この、外部サイトから遷移した後にIDとパスワードを求めるインタフェースにこそTwitterの問題があると考えます。 悪意があるサイトが、Twitterの外部認証もどきのサイトを作成することが可能であるためです。
●私が考える安全なTwitterインタフェース
パスワードを求めるURLは同一なものにします。 たとえば www.twitter.com/という画面以外では一切のIDとパスワードの要求はしないという声明を出すことです。 次に、Twitterにログインしていない状態で『外部アプリケーション認証』を行った場合は、
「Twitterにログインしていません、あらかじめtwitterにログインしてから再度認証作業をしてください」
というメッセージに変更すればTwitterのIDとパスワードが悪意のあるサイトに漏れることはなくなるのではと考えます。
[解放軍]Twitter乗取りが多いのは「外部アプリ連携」に問題 - YouTube
http://youtu.be/NJgohr6zOfc
外部リンク
この記事に関連するニュース
-
ファーストデータテクノロジーズがソーシャルログインサービス「Login Plus(ログインプラス)」の提供を開始
PR TIMES / 2024年8月28日 11時15分
-
Q. フリーWi-Fiはリスクがあると聞きました。パスワードを入力するタイプなら安全ですか?
オールアバウト / 2024年8月27日 21時15分
-
LINE公式アカウントで乗っ取り被害、発覚1カ月後に公表 “友達”ユーザーに不審なメッセージ送信
ITmedia NEWS / 2024年8月27日 12時42分
-
LINE公式アカウント乗っ取り発生 LINEヤフーが対応策示す
ASCII.jp / 2024年8月27日 12時0分
-
LINE公式アカウントの一部で乗っ取り被害、不審なメッセージやなりすましに注意
マイナビニュース / 2024年8月26日 17時45分
ランキング
-
1Appleユーザーならこれ1台で全部急速充電できちゃう。スタンドにもなる3in1ワイヤレス充電器
&GP / 2024年9月24日 6時0分
-
2Androidや古いiPhoneから「iPhone 16」シリーズへデータを移行! アプリで簡単、PC経由も可
ITmedia Mobile / 2024年9月23日 18時0分
-
3行方不明になった「逆襲のシャア」のガンダムを想像で制作→“空想のガンプラ”が大好評 「主題歌が脳内再生される」
ねとらぼ / 2024年9月22日 11時0分
-
4「謎の点」や「なぞり入力」などiOS 18で知っておきたい新機能7つをチェック
&GP / 2024年9月23日 19時0分
-
5Amazon偽るフィッシング詐欺増加、イオンカードやヤマト運輸の悪用も多数
マイナビニュース / 2024年9月24日 7時40分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください