民主党・岡田克也代表のTwitterが乗っ取られた。統一地方選挙の前日、4月11日19時ごろに岡田氏のTwitterアカウントから、サングラスの人気ブランド『オークリー』通販サイトの宣伝スパムが大量に流れたのだ。
 |
|---|
| ↑民主党・岡田代表から流れたTwitterスパム。1分間に数回の頻度で、詐欺通販サイトの宣伝が流された。 |
ほかのユーザーに向けてのツイート(メンション)というカタチで、画像付きでサイトを宣伝している。11日19時ごろから被害に気が付く23時ごろまで、大量の宣伝スパムが約4000人のフォロワーに向かって流れ続けた。
 |
|---|
| ↑ほかのユーザー宛て(フォロワーと思われる)のメンションとして詐欺サイトを宣伝。 |
このスパムは、今年1月ごろから急激に増えているモノで、著名人やタレントなども多く被害に遭っている。政党の代表が被害に合うのは前代未聞。乗っ取り被害ではあるものの、結果として詐欺サイトの宣伝をする加害者になっている。
住所は通販サイトと同じ。会社名・電話番号もない詐欺通販サイト
スパムが宣伝しているサイトは、以下の様なものだ。
 |
|---|
| ↑民主党・岡田代表のスパムで宣伝されていたサイト。サングラスの人気ブランド『オークリー』『レイバン』などを語る詐欺通販サイトだ。 |
本物のようなデザインの通販サイトだが、実際には商品を送ってこない、もしくは偽物を送ってくる詐欺サイトだ。会社名は書いておらず、住所は過去の詐欺サイトでも使われていたモノと同じだった。電話番号を記載していないのも、ほかの詐欺サイトと同じパターン。
政党の代表が、詐欺サイトの宣伝ツイートをしてしまったのは、故意ではないとはいえ責任重大だろう。
原因はパスワードの使い回し「パスワードリスト攻撃」である可能性が大
原因は2つ考えられる。
1. パスワード使い回しが原因の“パスワードリスト攻撃”
以前のLINE乗っ取りのように、ほかのサイトで流出したメールアドレス・パスワードのセットを、ほかのサイトに当てはめる手口。
2. 運用者がうっかり踏んだしまったスパムによる“不正な連携アプリ”
ほかの宣伝ツイートをクリックしてしまい、不正な連携アプリが入り込むパターン。
※これらの手口の詳細は「ツイッタースパム撃退法、別ソフト利用の新手も」(三上洋)を参考にしてほしい。
民主党・岡田代表の場合は“パスワードリスト攻撃”の可能性が高い。
 |
|---|
| ↑『オークリー』を80%引きなどの非常識な価格で販売。クレジットカード決済のため、被害者が容易に買ってしまう可能性がある。 |
理由は、リツイートだけでなく自らメンションでツイートしていること(不正な連携アプリのスパムでは公式リツイートが中心になる)、および同様のスパムの手口がパスワードリスト攻撃だったためだ(レイバン・UGGなどのTwitterスパム)。
岡田代表のTwitterアカウントの運用者が、パスワードをほかのサイトと共通に、つまり使い回していた可能性が高いと言える。
著名人こそ要注意! 怪しい宣伝ツイートはクリックしない
民主党・岡田代表のTwitterアカウントは2月に開設したばかりで、フォロワー数は4600前後と比較的少なく、被害はそれほどではないと思われる。問題のスパムツイートは11日24時前後に削除されており、下記のようなお詫びツイートが流された。
 |
|---|
| ↑11日23時30分に出された民主党・岡田克也代表からのお詫びツイート。 |
しかしながら宣伝された詐欺サイトは12日18時現在も生きており、購入できる状態だ。のちに被害が拡大する可能性も残っている。
このようなスパムを危険と判断し、クリックしない自衛が必要だ。今回の場合、ウィルス感染や不正な連携アプリの被害はないものの、ほかの手口では遭う可能性は高い。以下に対策をまとめておく。
1. Twitter・Facebookでの宣伝ツイートは乗っ取りの可能性を疑う
政治家・著名人がTwitterで自分と関係の薄い宣伝ツイートをしたら、それは乗っ取りの可能性が高い。URLをクリックしてはダメだ。広告でも信用しないこと。
※以前の記事「怪しすぎるTwitter広告 詐欺まがいに肖像権無視も」(三上洋)も参考に。
2. 連携アプリの表示が出たらOKを押さない
TwitterやFacebookに書き込まれたリンクをクリックし、「○○○を導入しますか?」と表示されたら、不正な連携アプリの可能性が高い。OKを押さずにキャンセルすること。Google検索で表示されるサイトも信用できないので注意。
※「偽通販サイトがグーグル検索上位に登場」(三上洋)参照。
3. パスワードを使い回さない
ほかのサイトと共通のパスワードを使うのはNG。今回のような乗っ取り被害に遭う。面倒でもひとつひとつ別のパスワードにしよう。民主党・岡田克也代表のソーシャル担当者は、この対策を守っていなかったことになる。乗っ取り被害で信頼を低下させたうえ、詐欺サイトの宣伝をする加害者にもなっている。
※「LINEからFacebookまで、セキュリティのプロがSNS乗っ取りの手口を明かす」(三上洋×矢崎飛鳥)を是非。
【ITジャーナリスト・三上洋】セキュリティ・ネット事件・携帯料金が専門。テレビ・ラジオでの専門コメント多数。ITジャーナリストと称しているが、実際は“IT野次馬”であり、ツイッターやツイキャスを用い、事件現場から速報するのが趣味。
週刊アスキーの最新情報を購読しよう
