Twitterで有名なレイバンスパムに乗っ取られました…。
皆様のおかげですぐに気付けましたが、ご迷惑をお掛けし申し訳ございませんでした。スパムなので、リンク先に飛んだり、リンク先でクレジット情報などを入力しないでください。
で、今回は、レイバンスパムと乗っ取られて気づいたことなどを少しまとめてみたいかと思います。
レイバンスパムって皆さん知っていますか?
「レイバン スパム」などで検索してもらうと詳しい情報が沢山でてくると思います。
→ Twitter乗っ取りでスパム送信相次ぐ リスト型攻撃か 偽ブランド販売サイトに誘導? – ITmedia ニュース
簡単に説明すると、Twitterのアカウントが乗っ取られ「レイバンのサングラスが2499円」といったような広告をTwitterユーザーに向けて、メンション(特定の「@ユーザー名」を含むツイート)を飛ばしまくるスパム行為です。
これが非常に流行っているみたいで、私も何度もレイバンスパムの広告を目にしていましたが、まさか自分のアカウントが乗っ取られるとは思っていませんでした…。誰でも乗っ取られる可能性があると思いますので、皆さん、お気をつけ下さい!!
アカウントとパスワードについて、少し述べてみる
私は、それなりにセキュリティには気をつかっているほうだと思います。無料Wi-Fiに繋げたりしないし、ブラウザにパスワードや履歴をのこさないようにしています(常にプライベートモード)。アカウント等は、有料のパスワードマネージャーを使用して管理しています。
そんな自分が被害にあったので、かなりショック!!苦笑
あまりよく確認しなかったのですが、瞬時にレイバンのツイートが約200件ぐらいされていたようです…。マジでスパムはテロやわ…
で、乗っ取りに気づいた瞬間「どこから情報が漏れたのか?」を考えながら対処をしていたのですが、思い当たる節が全くありませんでした…。
レイバンスパムの乗っ取りで言われているのが、「認証アプリからの情報漏れ」、「リスト型攻撃(IDとパスワードがどこかから漏れた)」、「総当たり攻撃(可能な組合せを全て試すやり方)」のどれかみたいで、ネット上では色々な意見があるようです。その中でも「リスト型攻撃」との意見が一番有力のようです。
認証アプリからの情報漏れ
Twitterと連携しているアプリから情報が漏れるパターンですが、私の場合、Twitterのクライアントぐらいしか認証しておらず、変なアプリは入れていません。なので、まずこれは違う可能性の方が大きいと判断。
リスト型攻撃
リスト型は他から情報が漏れるパターンですが、私がこのアカウントで使っているTwitterのIDとパスワードは特に他から漏れるようなことが見当たりません。
パスワードは使い回しではなく単独での設定ということもあり、漏れる可能性は低い & 漏れるような行為をした記憶がないので、可能性としては低いのかなと…。
総当たり攻撃の可能性が一番高い…
で、一番考えられるのが総当りで解読されてしまったことかなと…
私のパスワードは、小文字の英字+数字の組み合わせで、11文字の組み合わせでした。
よろしくない感じですね…大文字・小文字、記号、数字の組み合わせは必須です。
また、2段階認証もしていなかったのもいけなかったと反省中です…。なので、総当りの可能性が一番高いのかなと。
まとめ
結構アカウントの取り扱いには気を使っている方だけど、乗っ取られてしまった今回のレイバンスパム。「認証アプリからの情報漏れ」「リスト型攻撃」「総当たり攻撃」のどれで乗っ取られたかは分かりませんが、「総当たり攻撃」が一番可能性が高いかなと思いっています。「総当たり攻撃」だとしたら、誰でも乗っ取られる可能性があるので、2段階認証は必須かと思います。
同じ時間帯に複数のTwitterユーザーが乗っ取られてるのも確認しています。複数ユーザーが「総当たり攻撃」で解読されることも稀かと思うので、アカウントが流出した「リスト型攻撃かも…」という疑惑も少しは持っていたりもしています…。
いずれにせよ、どんな形で乗っ取られるか分からないのが厄介ですね。皆さんもお気をつけ下さい!!そして、気になる人は2段階認証を設定しておきましょう!
わざわざブログのお問い合わせからメールをくれた方が多数おり、本当に感謝しています。実は今回のスパム乗っ取りに一番最初に気づいたのは、メールで連絡してくれた方がいたからです。Twitterの通知機能はオフにしており、Twitterは1日にほんの数回しか見ていない状況だったので、本当に助かりました。
もちろんTwitterで教えていただいた方も含めて、本当にありがとうございました!
コメント
コメント一覧 (2件)
今回は災難でしたね。
乗っ取りの方法ですが総当たり攻撃だとするとサーバー側は相当数のログインエラーに対して何もしていないことになるので可能性は低いのかなぁと。
twitter社が調査すればスパム発信のアドレスもわかると思うのですが中々収まらないですね。
OZAWAさん
ホント災難でした…確かに総当りだとリクエスト数は膨大って点を考えると可能性は低そうですよね…やっぱりリスト型なのかな…