3200以上のモバイルアプリにTwitterアカウントの乗っ取りリスク発見される

ink_pen 2022/8/3
  • X
  • Facebook
  • LINE
3200以上のモバイルアプリにTwitterアカウントの乗っ取りリスク発見される
多根 清史
たねきよし
多根 清史

IT / ゲーム / アニメライター。著書に『宇宙政治の政治経済学』(宝島社)、『ガンダムと日本人』(文春新書)、『教養としてのゲーム史』(ちくま新書)、『PS3はなぜ失敗したのか』(晋遊舎)、共著に『超クソゲー2』『超アーケード』『超ファミコン』『PCエンジン大全』(以上、太田出版)がある。

芸能人や政治家らが「ツイッターのアカウントを乗っ取られた!」というのは、残念ながらよくあること(本当かどうかはさておき)。そうした乗っ取りリスクが、なんと3200以上のモバイルアプリで見つかったと報告されています。

↑Shutterstockより

 

セキュリティ研究企業のCloudSEKは、3200以上のモバイルアプリに開発者のミスがあり、ツイッターのアカウントの全部または一部機能の乗っ取りが可能とのレポートを発表しています。

 

これによりできることは、DMの閲覧やリツイート、リツイート、いいね!を付けることやフォロワーの削除、任意のアカウントのフォローやアカウント設定、表示画像の変更といったところです。

 

ただ乗っ取られる可能性のあるアカウントは、ユーザーではなくアプリ開発者のものだけというのが不幸中の幸いです。とはいえ、有名で認証済みのアカウントが標的とされることも意味しており、ボット軍団がフェイクニュースをばら撒く危険が生じるとも指摘されています。

 

もう1つのリスクは、ツイッターで流行している暗号通貨などの詐欺の宣伝に使われること。さらに攻撃者がDMを読むことで機密情報が流出するおそれもあります。

 

なぜ、こうした問題が起こっているのか。それはモバイルアプリ開発者に与えられる特別な認証キー(トークン)が漏れてしまっているためです。

 

モバイルアプリをツイッターと紐付けるとき、開発者にはトークンが与えられ、それによりアプリとツイッターのAPI(外部サービスの機能と連携できる仕組み)がやり取りできるようになります。この認証キーを使うことで、誰もが本来のユーザー(この場合は開発者)に成り代わってツイッターの各種アクションを実行できてしまう……Bleeping Computerはそうした趣旨を説明しています。

 

では、どうして認証キーが流出したのか。CloudSEKによれば、アプリ開発者がそれをツイッターAPIに埋め込み、アプリを公開する前に削除し忘れるというミスから起こることが一般的だそうです。

 

この問題を抱えたアプリには、数百万人ものユーザーがいる、非常に人気の高いものもあるそうです。しかしCloudSEKが警告してから丸々1か月が経っても、ほとんどの開発者がこの問題を修正していないため、あえてアプリの名前は公表されていません。いまからでも遅くないので警告に耳を傾け、速やかに不具合が直されることを祈りたいところです。

 

Source:CloudSEK

Related Articles

関連記事

もっと知りたい!に応える記事
Special Tie-up

注目記事

作り手のモノ語りをGetNavi流で