Twitter(ツイッター)は、個々のユーザーが「つぶやき」を投稿することで、ゆるいつながりが発生するコミュニケーション・サービスで、Obvious社(現在のTwitter社)が開発し、2006年7月にサービスが開始された。
その日本語版「Twitter Japan」は2008年4月から開始されている。
その手軽さで多くの人が利用し、話題にもなっているのだが、ここにきて新たな問題も発生している。
その問題とは、「Twitterのアカウントが不正目的で大量に登録され、偽ウイルス対策ソフトの宣伝に使われている。」ということだ(これについてはセキュリティ企業のF-SecureやSophosがブログで伝えているので、詳細についてはF-SecureやSophosのWebサイトを参照して欲しい)。
Twitterにおける不正アカウントは英語やドイツ語などのさまざまなユーザー名で登録され、Twitterトレンドや正規ユーザーのつぶやきなどから拾い出したキーワードを使って自動的につぶやきを投稿しており、そのつぶやきにはURL短縮サービスを使ったリンクが添えられ、クリックすると不正サイトに誘導されることになる。
そして「あなたのコンピュータはウイルスに感染しています」といった虚偽の情報で脅して偽ウイルス対策ソフトの購入を迫り、金銭をだまし取ったり、トロイの木馬などの不正プログラムをばらまこうとしたりするのである。
これとは別にSophosは、Twitterユーザーのアカウントに「rofl is this you on here?」(ここにいるのはあなたですか?)というつぶやきと短縮サービスのURLを送り、リンクをクリックさせようとする手口も見つかったと伝えている。
この手口ではリンクをクリックするとTwitterのログオンページに見せかけた詐欺ページが表示され、ユーザー名とパスワードを入力させようとする。
この詐欺ページは中国のサーバでホスティングされており、詐欺だとは気付かずに情報を入力すると、自分のアカウントからつぶやきスパムが送信されてしまう事態に陥ってしまう。
つまり、“アカウントの乗っ取り”という手口だ。
このことについては、8月にイギリスのSEOサービスの専門家のブログに掲載され、Twitterの脆弱性について喚起されていた。
これらアカウントの乗っ取りの原因は、Twitterのサードパーティーアプリケーションにあるという。
Twitterのつぶやきは、例えばTweetDeck、TwitterFox、HootSuiteといった専用アプリケーションから投稿することもでき、この場合は使われたアプリケーション名がつぶやきの下に表示される。
しかしこの部分は、外部のアプリケーション開発者がTwitterのフォームに入力した内容がそのまま反映され、例えばHTMLコードやJavaScriptのscriptタグでさえも表示させることができてしまうという。
これを悪用すれば、ユーザーを別のページに誘導したり、ユーザーのアカウント情報を変更させたり、フォロワーを削除するといったことができてしまうのである。
今回のTwitterにおけるアカウントの乗っ取り手口は、これを利用したものだと断言できる。
Twitterでは指摘を受けて問題を解決したとしているが、果たして・・・。
さらに、Twitterなどのソーシャルネットワークはクラッカーによるハッキング攻撃の対象となっている。
それはTwitterを指揮制御システムとして利用することにより、マルウェアやトロイの木馬に感染したコンピュータに指令を送り込もうとするものだ。
すなわち、ハッキング行為への踏み台にされるということだ。
これらの事象は決して対岸の火事ではない。
実際、セキュリティに関しては何もしていないという認識の甘い企業が未だに多く存在している。
Webアプリケーションシステムを導入する企業は、セキュリティに対してもっと気を引き締めるべきであり、その対策をきちんとすべきだ。
また、インターネット利用者もセキュリティに対して無頓着では済まされない。
それを肝に銘じておくべきだ。