とある飛行機好きの生活向上ブログ

中国在住サラリーマン。2015年にいわゆる「修行」によりANA SFC取得。飛行機や旅行、航空会社のマイレージ会員制度、陸マイラー情報などについて書いていきます。(Twitter: @superflyer2015)

スポンサードリンク

(Twitter乗っ取り)「レイバンスパム」をばら撒いてしまいました(傾向と対策)

先週の週末、私のTwitterアカウントが乗っ取られてしまい、大量にスパムをばら撒いてしまいました。受信された方へのお詫びも兼ねて、ここにその内容と対策方法を書いておきたいと思います。

 

Twitterが乗っ取られた


私はブログの更新情報の配信も兼ねてTwitter(@superflyer2015)をやっているのですが、先週の土曜日に、ふと自分のツイート数やフォロー人数などが表示されているメイン画面を見たところ、なぜか前回見た時よりも「ツイート数」が明らかに大きな数字になっていました。

「あれっ? こんなに呟いたっけ、、、」なんて思いつつ自分の過去のツイートをチェックしてみたのですが、特に不自然なツイートは見当たりませんでした。しかし「画像と動画」の欄に目をやったところ、見覚えのない同じ画像がいくつも表示されていて、一気に変な汗が出てきました。恐る恐る「ツイートと返信」をチェックしてみたところ、こんなつぶやきを大量にしたことになっていたのです。

 

Twitter上に蔓延するレイバンスパム


こういった経験が過去に一切なかったので、もう本当にパニックになってしまいました。一瞬、アカウントごと削除しようかとも思ったくらいです。

上の画像からわかるわけですが、各ツイートは自分がフォローしている人の中から抽出された任意の3人への「@ツイート(要はリプ)」になっていて、私の場合、約300ツイートが何者かによってなされたようでした。要は1,000人くらいの人にスパムを送りつけてしまったわけです。受け取って不快な思いをされたみなさま、本当に申し訳ありませんでした。

 

傾向と対策


頭がパニックになりつつ、とにかく何かしなきゃということで、急いで情報収集をしたのですが、どうやら同様の被害がここ数年問題になっているようです。

なぜ第三者がアカウントにアクセスできるのかについてなのですが、何も総当たり方式によって攻撃者がパスワードを解読したわけではなくて、今回のはいわゆる「リスト型」攻撃というもので、どこかのサイトからパスワードのリストが流出し、それに載っているパスワードを実在するツイッターアカウントに順番に当てはめていくことで「解錠」しているようです。

このことを知り、私はほんのちょっとだけホッとしました。なぜなら、私が元々設定していたパスワードは英数字合計で14文字であり、総当たり方式で破れるはずはないと確信していたからです。ちなみに、4文字や5文字のパスワードなんて、例えばあなたの持っているノートパソコンでも現実的な時間で十分解読可能です。短いパスワードを使っている方は、とりあえずすぐに8文字以上のものに変更することを強くお勧めします。もっとも、最近では、8文字以上のパスワードしか設定できないサイトも増えていますが。

「リスト型」だったのでホッとしたと書きましたが、今回の件で判明した一つの事実は、私が過去にツイッターで設定したのと同じパスワードを使用していたどこかのサイトから私のパスワードが流出したということです。こんな被害にあったことが恥ずかしくて、とても詳しくは書けませんが、私は仕事柄普通の人よりはセキュリティ関係には気を遣っていて、怪しいサイトにはそもそもアクセスすらしないし、登録が必要なサイトでも、よほど信頼の置けるところでない限り、信頼の置けるサイトで使っているパスワードは使わないようにしていました。それでこのザマですから、本当に何もかもが信じられなくなります。

被害に気づいた後で私がやったことは、「黒歴史クリーナー」でスパムツイート全てを一気に削除して、パスワードを変更しただけですが、今後のパスワード管理については今も悩んでいるところです。

よく「パスワードの使い回しは危険」と言いますが、そうは言っても、サイトごとに個別のパスワードを設定するのなんて絶対に現実的ではありません。メモ帳にでも書いておけばいいじゃん、と思われる方もいるのかもしれませんが、そもそも紙に書くこと自体が個人的にはセキュリティ対策として間違っていると思うし、外出先でサイトにアクセスすることもあるわけですが、パスワードを書いた紙を常に持ち歩くというのも明らかに現実的ではありません。

ではどうするべきか?
やはり自分の中で「重要度」を決めて、暗記できる範囲で数個のパスワードを所有するしかないのかなと、とりあえず現時点で私は考えています。例えば、絶対に中身が流出しては困るサイト(オンラインバンク、クラウドサービスなど)用に一つ共通のパスワードを設定し、それは絶対に他のサイトでは使わない。他には、仕事関係用に一つ、SNS用に一つ、その他のサイト用に一つ、信頼できるか微妙なサイト用に一つ、で計5つくらいあれば十分な気がします。というか、それ以上持つのは現時点には不可能だと思うのです。

重要なのは、それらのパスワードの使い分けではないでしょうか。セキュリティ対策が十分でないサイトは実際にはたくさんあります。ずっと不満に感じていたので今回書きますが、例えば、ブロガーの多くが利用していて、私も現在利用中であるブログランキングサイトの「ブログランキング」に新規登録すると、登録フォームで入力したパスワードがなんとオリジナルテキスト(「※※※※※※」みたいな感じに隠されていない、入力したままのテキスト)で掲載された自動送信メールが届きます。私は最初に登録した時、「まだこんなセキュリティ対策ガバガバのサイトがあるのか、、、」と驚愕しました。正確なことはわかりませんが、もしサーバー上で暗号化せずに会員のパスワードを保存しているようなら、いつ盗まれてもおかしくないでしょうね。

ということで、とにもかくにもこれが現実です。自分の大切なものはネット上であっても、自分で責任を持って守るしかありませんから、危機意識を持つことが本当に重要ですね。

 

ITの発展でいろんなことが便利になったけれど、気を遣わなければならないことも増えましたね。早くパスワードなんていう概念がなくなって、何でもかんでも指紋認証や網膜認証になったらいいのになと個人的には思っています。さらに、本人が亡くなった際には、全データが自動的に消去される仕様になっているといいですね。みなさんもぜひ、「今もし自分が突然死したら、、、」と想像してみてください。あなたの家族が、あなたのスマホやパソコンをいじっている様子を。。。