つい先日の朝方、自分のTwitterアカウントから英語の怪しいツイートが書き込まれていることを発見しました。 当然そんな英語のツイートを書き込むこともないので、まさかアカウントハックか!? と思って調査開始しました。
いくつか設定変更などで対応した結果、自分のアカウントから怪しげなツイートが発信されることはなくなったのですが、つい先般OpenSSLの重大なバグ「Heartbleed」で世界中のWebサービスのセキュリティ面の問題が広く発生したこともあるので、皆さんもチェックをしておいた方がよろしいですよ。
怪しいツイート(例)
今回、ぼくのアカウントからつぶやかれていた怪しい英語ツイートがこちら。
2度ほどつぶやかれてしまっていましたが、英語のメッセージは毎回違いました。 どちらにせよ、共通しているのは怪しいURLが一緒についてつぶやかれているということです。
URL先は、踏まない方がよろしいでしょう。 自分以外の人がこのURLを踏むと、更にこうした妙なツイートがその人のアカウントでもつぶやかれる場合があるので、自分のツイートは見つけ次第早めにデリートしてやるのが得策です。
1.Twitterアカウントのパスワードを変更する
アカウントハックへのもっともシンプルで明確な対応方法は、まずパスワードを変えてしまうことです。
Heartbleedなどのバグでパスワードが抜き去られていた場合にも、その後WebサービスがOpenSSLの脆弱性を修正された最新バージョンへとバージョンアップしていれば、改めてパスワードを変更することでハックされる可能性はかなり低くなります。
パスワードの変更画面は、Twitterのページの「設定ボタン」→「パスワード」から、再設定可能です。
アカウントが本当にハックされていると、先にパスワードを変更されてしまうという可能性もありますが、最近の主流なWebサービスは利用者のアドレスに必ずメールが送信されて、そのメールのリンクのURLからでないとパスワードが変更できないようになっているものが多いので、実は勝手にパスワードを変更されてしまっているということは、割と少ないみたいです。 (Twitterはそうなってないですけどね、ボソッ)
2.怪しい連携アプリが無いかチェックする
Twitterのアカウント自体が大丈夫でも、妙な連携アプリからこうした怪しいツイートが自動的につぶやかれている場合もあります。 もし怪しいツイートがつぶやかれているのを見つけたら、アプリ連携もチェックしておきましょう。
アプリ連携の設定画面は、Twitterのページの「設定ボタン」→「アプリ連携」へ移動すると、Twitterアカウントが連携している外部アカウントが一覧表示され、ボタンから連係解除が可能になっています。
今回、Twitter上で怪しいとつぶやかれていたのは「Twitter for iPhone」という名前のアプリ連携でした。 一般的な名称だけど、一般的すぎて自分が導入したかどうか記憶があいまいになりやすい名前ですね…。
とりあえず、今回のタイミングで利用してないアプリ、用途がイマイチわからないアプリはすべて連携を解除してしまいました。 この解除によってもし何か問題があっても、また個別で連携をしなおせばいいだけなので何も問題はありませんしね。
まとめ
怪しいツイートをみつけたら、まずパスワード初期化、そして連携アプリを見直す。 このふたつを迅速に行えれば、フォロワーの人たちに迷惑がかかることはないでしょう。 スピードが肝心です。
前述の通り、OpenSSLの脆弱性が明らかになって以降、パスワードを自分から漏らしたりだとか変なリンクを踏んでしまったりだとか、そういった事をしていなくてもこういった現象が発生することは可能性として考えられます。 そうなった場合に、速やかに対応出来るようにしておきましょう。
いや、もうこの際なので怪しいツイートがされていなくても、パスワード初期化と連携アプリの見直しはやってしまってもいいかもですね!