知らない間にツイートされている場合は、Twitterのアカウントが乗っ取られている可能性があります。身に覚えのないツイートで炎上したり、他人を不快に思いにさせたりするなんてことも。
もし乗っ取りの被害に遭ってしまったときは、いち早く対処し再度被害に遭わないように対策をすべきです。
そこでこの記事では、Twitterの乗っ取りを解除する方法や原因や対策について解説します。
Twitter乗っ取りとは?
自分が投稿していないのに、第三者によって勝手に投稿やリツイートがさせられることを「乗っ取り」といいます。また、そのツイートは「スパムツイート」と呼ばれます。
乗っ取られたときの症状
乗っ取られたときによく見られる現象がこちらです。ひとつでも当てはまったら乗っ取りを疑ってもよいでしょう。
[box class=”blue_box”]
- URLつきの同文ツイート、リツイートをくり返す
- @つきの大量ツイート、リツイートを繰り返す
- 大量のフォロー、フォロー解除を繰り返す
- トレンドトピックで無関係の投稿をくり返す
- ツイートの日本語がおかしい、宣伝文を連続投稿
[/box]
乗っ取り犯の目的
スパムツイートの目的は拡散したいURLの宣伝や、ウイルスを置いたサイトなどへの誘導です。
そのため、もし見かけても絶対にリンク先へアクセスしないようにしてください。
Twitter乗っ取りの手口
では、どのような方法で乗っ取られてしまうのでしょうか。よくあるやり方を2種類紹介します。
不正ログインによるアカウント乗っ取り
悪意ある第三者が他人のIDに不正ログインし、アカウント自体を乗っ取るケースです。この乗っ取りは非常に危険なので、早急にパスワード変更などの対処をおこなう必要があります。
不正ログインとは、たまたまID・パスワードが一致してログインされたパターンと、どこかのサイトから漏えいして悪用されたパターンのどちらかであることが多いです。くわしくは以下で解説しています。
[kanren postid=”1010″ date=”none” target=”on”]
アプリ連携からの乗っ取り
アプリ連携をすることで、第三者にツイート権限を渡してしまったことによる乗っ取りです。
勝手にツイートを投稿される前に以下のような画面で「アプリ連携」をした覚えはありますか?
この場合、アカウント自体は乗っ取られていません。連携を解除すれば勝手な投稿は止まります。
乗っ取りの種類によって、原因や対処方法が違ってきます。次項からくわしく説明していきます。
Twitter乗っ取りを解除する方法
もしTwitterで勝手にツイートがされるなど乗っ取りがおこなわれたら、すぐに以下の対処法を実践してください。
また、同じパスワードを使い回しているサイトがあれば、そちらも乗っ取られる可能性があります。
早急に違うものを設定しましょう。
パスワードを変更する
連続投稿がされてしまったときは、アカウントを乗っ取られている可能性があります。早急にパスワード変更をおこないましょう。
パスワード変更の仕方
1. 「アイコン」をタップし、リストから「設定とプライバシー」を選択
2. 「アカウント」⇒「パスワード」をタップ
3. 現在のパスワード、新しいパスワードを入力 ⇒ 右上の「完了」をタップで完了
連携アプリを解除する
念のため、あやしいアプリを連携していないか確認してください。覚えのないものがあったら、早急に解除しましょう。
連携アプリの解除方法
1. 「アイコン」をタップし、リストから「設定とプライバシー」を選択
2. 「アカウント」⇒「アプリとセッション」をタップ
3. アプリ一覧から、該当のアプリを選択 ⇒ 「アクセス権を取り消す」をタップして完了
運営が解除してくれる場合も
Twitterのアカウントを乗っ取られたとき、気づかずに放置していると、運営からつぎのような「アカウントが乗っ取られている可能性が高いと判断いたしました。」というメールを受信する場合があります。
ただ、Twitter運営を騙るなりすましメールの可能性もあるので、このメールを受け取ったらブックマークから自分のTwitterを確認して、実際に乗っ取られていたらパスワード変更をおすすめします。
すると、しばらくして運営側がスパム投稿を全削除してくれることもあるようです。
スパムツイートの見分け方
スパムに乗っ取られないために、スパムツイートを見分ける方法をご紹介します。
以下の条件を満たすツイートを見かけたら、URLのクリックやアプリ連携をしないようにしましょう。
過剰に煽る文言とURL
「じつは~~だった!これはヤバイ→URL」とか、「過激画像が流出→URL」といったように、興味をそそるようにやたらと煽った文章とURLが掲載されています。
そのURLがただの情報サイトというケースも多いですが、アプリ連携画面だったらスパムを疑ってよいでしょう。
前述のとおり、連携画面で「新しくフォローする」「ツイートする」と表示されたら連携しないようにしましょう。
ツールを勧める文言とURL
一時期流行しましたが、「結構いろんな人が見てる Twitter足跡解析ツール→URL」など、最近は煽らないタイプのスパムも出ています。
Twitterに足跡機能はないので、こちらも連携画面が出たら注意してください。
定型文のようなツイート
知り合いのフォロワーなどが、まさに連携したであろう定型文の口調でツイートをしていたら、スパムに乗っ取られている可能性が高いです。
URLをクリックすることなく、まずは直接Twitterで話しかけてみてください。反応がないのに引き続き同様のツイートを繰り返していたら、確実に乗っ取られています。
Twitter乗っ取りを見かけたときの対処方法
タイムラインなどで乗っ取られたと思われるアカウントを見かけたら、早めに通報をおこなってください。そのままにすると別の被害者が増える可能性があります。
スパムツイートの通報方法
1. 乗っ取られていると思われるユーザーのページで歯車アイコンをクリック
2. 「報告」をクリック
3. 「アカウントが乗っ取られているようです。」 を選択
スパムツイートの通報方法
アカウントでなく、スパムのツイートだけを通報する方法がこちらです。
1. スパムと思われるツイートの下部、「…」を選択(Androidではタテ3つの点)
2. 「報告」をタップ
3. 「このツイートはスパムです。」 を選択
蔓延中のおもなスパムツイート3種
Twitter内で蔓延しているスパムツイートは、基本的につぎの3種類です。
なかには、タイムラインで見たツイートがあるかもしれません。見かけても、URLは押さないようにしましょう。
「レイバンのサングラス」スパム
レイバンといえば、高級サングラスのブランド。この商品を宣伝する広告ツイートが連投されてしまうスパムです。
もちろん、これは正規のレイバン販売店によるものではなく、おそらく偽ブランド店が宣伝を目的におこなっているスパム行為と考えられます。
これに対し、レイバン社も公式コメントを発表。異様に安い値段で、ニセモノを販売しているサイトへ誘導していると思われるので、注意するようにと呼びかけました。
この「レイバンスパム」は、いまとくに蔓延しているスパムの一種。Facebookでも被害が続出しています。ほかにも、同じ手口の亜種として「オークリーのサングラス」や、通販サイトへ誘導するツイートなど多数登場しています。
占い・診断系スパム
ツイッターのタイムラインに流れてきた「無料診断」「◯◯占い」などのリンクを押すと、連携アプリの認証画面になるというものです。認証する、相手に「ツイート投稿権限」を与えてしまいます。
【拡散希望】
これ開いたら
乗っ取りにあいました。
2PMカラーがあるから気になると思うけど
やらない方がいいです!(私はまんまとヤングカラー選びましてんw?)
アプリ連携解除したら、乗っ取り回避しました! pic.twitter.com/BZwbUFhQgD— YUKIYO♔︎ (@rabichansung) 2015年2月4日
「アカウント自体」を乗っ取られるわけではありませんが、ツイート権限を渡すということは、勝手に連続投稿やリツイートをくり返す許可をしている状態です。
すると、「この占い当たる!(URL)」などと勝手にツイートが投稿され、それを見て興味を持った人が同じように踏んでしまうと、つぎつぎ拡散させてしまいます。
占いのほかにも、一時期流行った「アキネーター」(質問に答えると、想像しているものを当ててくれるサイト)を騙った、「偽アキネーター」型の乗っ取りも登場しているので、注意が必要です。
情報サイト系スパム
「なんと◯◯が××だった・・・続きは→(URL)」というように、興味を引く言葉とリンクが掲載されているスパム。ほかにも、「肩こりを治す方法」などライフハック情報を騙っている場合もあります。
このリンクをクリックすると、上記の診断系と同様に「アプリの連携」画面に飛び、認証すると同様のツイートを連投してしまうというものです。
あの公式アカウントもスパムの被害に!
スパムツイートが蔓延しているのは、一般ユーザーだけではありません。
有名な公式アカウントなどもなりすまし被害を受けたり、罠に引っかかったりして加害者になってしまっています。
ニセのTwitter公式アカウント
2014年3月、Twitterが8周年ということで、ニセモノのTwitter日本公式アカウントが登場。「初めてのツイートを簡単に探せるツールを用意しました。」というツイートをおこないました。
実際のTwitter日本公式アカウントIDは「@TwitterJP」、ニセモノは「@twitter_JP」ですが、本物と思ってしまいそうな程度の違いといえるでしょう。
現に多くのリツイート・お気に入りがされています。これに対し、本物のTwitter日本アカウントが注意喚起のツイートをおこないました。
Twitterの公式を真似たアカウントから初めてのツイートを調べるサイトへの誘導ツイートが行われているようです。Twitterからのツールは、ツイート内のURLをクリックしてもアカウント連動の認証が必要となるものではありません。お気をつけください。
— TwitterJP (@TwitterJP) 2014年3月21日
公式はやはり公式の証である水色のチェックマークがついていますが、タイムラインで流れてきたら、本物と勘違いする方も多いでしょう。
さらにツールも実際にありそうなので、おそらく多くの方が被害に遭ったと思われます。
ミュージックステーションの公式アカウント
さらに同年4月には、有名な音楽番組である「ミュージックステーション」の広報用公式アカウントが、Mステのスパムに引っかかるという珍事件が発生しました。
おそらく、MステのTwitter担当者がこのスパムのリンクを押して、アプリ連携をしてしまったのでしょう。
Mステ公式がツイートしているということもあり、このツイートからさらに乗っ取られた方もいるのではないでしょうか。
内閣府防災の公式アカウント
またも同年、7月はあの内閣府公式ツイッターアカウントもスパム被害に遭っています。実際にツイートされたのがこちらです。
アホかw ” @CAO_BOUSAI 【お詫び】先ほど内閣府防災とは関係のない内容のツイートが当アカウントから流れてしまいました。大変申し訳ありませんでした。(内閣府防災TW担当) ” pic.twitter.com/0dTY7QGDps
— REIKO CHIBA (@CHIBAREI_DURGA) 2014年7月5日
【お詫び】先ほど内閣府防災とは関係のない内容のツイートが当アカウントから流れてしまいました。大変申し訳ありませんでした。(内閣府防災TW担当)
— 内閣府防災 (@CAO_BOUSAI) 2014年7月5日
こちらも、内閣府のアカウントを管理している人物が「情報サイト系スパム」を見かけて、内容が気になって操作してしまったのでしょう。このように、国の機関でも騙されてしまうケースが出ているのです。
公式アカウントのツイートだからと、内容が気になってより被害者が増えてしまう可能性もあります。公式であっても、つぶやいている内容が不自然なときは、URLを押さないようにしましょう。
まず、連携アプリを確認しておかしいものがあれば、前項で紹介した方法で連携を解除しましょう。念のためパスワードも変更しておけばさらに安心です。
FacebookのCEOマーク・ザッカーバーグのアカウント
2016年6月5日、Facebookのマーク・ザッカーバーグCEOのTwitterのアカウントが乗っ取られ、相次いで不正な発言が投稿される事件が起こりました。
Twitterアカウントを乗っ取った犯人は、ほかに写真共有サイトのPinterestやInstagramにも侵入したと宣言しています。
この乗っ取り事件が起こる以前に、ザッカーバーグ氏がTwitter上で発言したのは4年前に遡り、しかもツイートの大半は2009年の前半に集中していました。
Twitter乗っ取りを防止する方法は?
一度乗っ取りをされてしまった方も、いまのところ問題ないという方も、今後乗っ取りをされないようにつぎのような防止策を実行してください。
不用意にアプリの連携をしない
気になるツイートのリンクを押して「アプリ連携」の画面になったら、基本的に疑いましょう。もっとも注目すべきは、「このアプリケーションは次のことができます。」という項目。
「新しくフォローする」「プロフィールを更新する」「ツイートする」が含まれていませんか?
これらの項目を許可すると、勝手にフォロワーやプロフィールの変更されてしまったり、スパム投稿を許可してしまいます。
アプリ認証の際、これらの項目があったら本当に信頼できるアプリかよく確かめてください。
複雑なパスワードを設定する
総当たり攻撃や辞書攻撃で不正ログインされる人は、簡単で短いパスワードを設定しているケースが多いです。
ターゲットにならないために、つぎのようなパスワードを設定しておくとセキュリティレベルを高められます。
[box class=”blue_box”]
- 英語の大文字・小文字や数字を混ぜる
- 最低でも10文字以上、長いほどよい
- ほかのサイトと同じID、パスワードを使い回さない
- abcや123といったありがちな単語や文字列を使用しない
- 電話番号や誕生日の数字をそのまま使わない
[/box]
難解なパスワードを設定すると覚えにくいと思いますが、手書きのメモで書いておくなどして、安全に管理しましょう。
[kanren postid=”592″ date=”none” target=”on”]
2段階認証を設定する
2段階認証とは、ログインの際にパスワードのほか「認証コード」を使うというセキュリティ設定です。
パスワードのみのログインより、さらにセキュリティ性を高めることができます。
手順1:電話番号の登録
2段階認証を有効にするには、電話番号の登録が必要です。
1. 「アイコン」をタップし、リストから「設定とプライバシー」を選択
2. 「アカウント」⇒「電話番号」をタップ
3. 電話番号を入力し「次へ」をタップすると、SMSに認証コードが送信されます
4. 認証コードを入力すれば、電話番号の登録は完了です。
手順2:ログイン認証を有効にする
1. 「アカウント」⇒「セキュリティ」をタップ
2. 「ログイン認証」⇒ ログイン認証のスイッチをタップ
3. 「確認」をタップ
4. ログイン認証の設定画面が表示されるので、「始める」⇒ パスワードを入力し「認証する」をタップ
5. 「コードを送信」⇒ SMSに送信された認証コードを入力し「送信」をタップで設定は完了です。
フィッシング詐欺サイトに注意する
フィッシング詐欺とは、Yahooなど大手サイトと本物そっくりの「ニセサイト」をつくり、利用者をそのURLに誘導してIDやパスワードを入力させ、それら情報を盗むという手口の詐欺です。Twitterも、つぎのようなニセサイトが登場しています。
以下が本物のTwitterログイン画面です。
本物のtwitterはURLが「twitter.com」ですが、ニセサイトは「access-login.com」になっています。
また、本物はカギのマークが表示されています。これは、データ送信を保護している証です。
このような違いがあるものの、画面は「Twitterっぽい」デザイン。あまり確認しないとログインしてしまうかもしれません。
もしTwitter運営を名乗るメールで「パスワード変更してください」などメールがあっても、フィッシング詐欺メールの可能性があります。
URLにはアクセスせず、ブラウザのブックマークから飛ぶようにしてください。
[kanren postid=”1193″ date=”none” target=”on”]
まとめ
このようにTwitterの乗っ取りには2種類あり、パスワードとアプリ連携に注意するべきだということがお分かりいただけたかと思います。
まとめると、注意すべき部分はつぎのとおりです。
[box class=”blue_box”]
- パスワードは複雑にして使いまわさない
- 容易にアプリ連携をしない
- フィッシング詐欺に注意する
[/box]
ID・パスワードが流出した経験があったり、他サイトで同じID・パスワードを使いまわしたりすると、乗っ取り被害に遭いやすいです。
複雑なパスワードの設定や、定期的な変更などの対策をおこなってください。
[kanren postid=”7591,1650″ date=”none” target=”on”]