Twitter_logo

Twitterが流行ってますね。個人的にもマイブームです(笑)。

さて、Twitterを使ってて、IDとパスワードの取り扱いについて結構危険だなあと思うことがあります。

利用者の方はご存知と思いますが、Twitter自体はとてもシンプルなサービスに徹しています。一方で、他社から数多くの専用クライアントをはじめとする周辺サービスが出ており、それらを活用することでTwitterのブームが成り立っています。(ここではそれらの会社のことを「周辺サービス事業者」と呼びます)

Twitter社では、OAuthという認証の仕組みを用意することで、周辺サービス事業者にTwitterのID、パスワードを預けなくてもそれらのサービスを利用出来るようにしてはいますが、現在でもOAuthを使用していないものが沢山あります。

※例えば、大変利用者の多いTwitterアクセスサービス「HootSuite」や、弊社がセミナー生放送に使用している動画配信サービス「USTREAM」のTwitter連携機能もそのようです。もっと怪しげなサービスがいっぱいあります。

ですから、利用者は結構気軽に、周辺サービス事業者にTwitterのIDとパスワードを差し出しているのです。それが当たり前のようになっています。しかし、これは本当は危険なことなのです。

もし、その周辺サービス事業者のログやデータベースが流出したらどうなるでしょうか?もし、その周辺サービス事業者がそのIDとパスワードを悪用しだしたらどうなるでしょうか?

自分のTwitterアカウントが乗っとられ、自分の意図しないつぶやきが投稿されるかも知れません。その中に、ウイルスをダウンロードするURLが含まれていたら、自分のフォロアー(読者みたいな概念です)にウイルスをまき散らしてしまう危険性があります。このような事態は、すでに実際に何度も大規模に発生しています。

また、そこまで行かなくても、DMと呼ばれる非公開のメッセージをその周辺サービス事業者は読むことができます。そういうことを皆さんご存知でしょうか?

また、OAuthを使用しているかのように見せて、実際には無関係のサーバーにTwitterのID、パスワードを入力させる明らかなフィッシング詐欺もあるようです。

くれぐれも、TwitterのIDとパスワードを入力する際には、相手が信頼に値する事業者かどうかを見極めてからにすることをおすすめします。

私は、これが現在におけるTwitterのセキュリティの最大の問題だと思います。

参考URL:
最新のTwitterフィッシング攻撃のスクリーンショット
http://blog.f-secure.jp/archives/50376484.html



●週に一回程度、更新情報をお届けします。
こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)