twitterで覚えのないパスワードリセットのメールが来てアカウントが乗っ取られかけた。対策もろもろ。

昨日晩飯食ってテレビ見てゆっくりして端末見るとtwitterからパスワードリセットの確認メールが来ていた。

twipass

送信時刻が5月19日の日本時間20時30分でその時刻にはインターネットすらやっていなかったので明らかにアカウント乗っ取るための不正なアクセスである。

ちょっと検索したら同じような被害にあっている人が多数で日本人が狙われているのか?

twi009

ビジネスジャーナルにtwitterの乗っ取りが大流行の記事がでています。

http://biz-journal.jp/2013/05/post_2124.html

外部アプリの認証も疑うか。

筆者の連携アプリは以下の通りで多い ※並びは登録順、青字はPC、太字はios、赤字はAndroid

  • Biyon≡( ε:)
  • TWmallDeck for All Small app
  • ShootingStar
  • yReader on iOS
  • TweetDeck
  • Echofon
  • Dropbox
  • HootSuite
  • Camera on iOS
  • Photos on iOS
  • Safari on iOS
  • iOS
  • Reuters NewsPro for iPhone
  • Twitter for iPhone
  • WordPress.com ※ブログ認証 ios android共にアプリ入れている。
  • Twilog
  • V2C
  • ついっぷる for iPhone
  • Twitpic

被害にあった人の書き込みやクライアント見て怪しい共通点探っているが、ざっと見た感じでiosやMacが多い気がするが特に共通点は見当たらなかった。

標準の設定に注意twitterのパスワードリセットで行える件

標準設定でtwitterのパスワードリセットのリクエストはIDさえ分かれば出来る。

ユーザーがパスワードリセット許可のリンクを間違えてクリックした隙にクラッカーが先にパスワードを書きかえ乗っ取る手口だと思うので、リセットのメールが着た時にはリセットのURLをクリックしないように注意してほしい。

乗っ取り対策

書いている順番で作業をやった方がいいでしょう。

  1. twitter設定で「パスワードリセットに個人情報」を使うにする。
  2. twitter専用メールアドレス作成および変更
  3. パスワードの変更

この三つをおさえとけばOKでしょう、簡潔にまとめるのが苦手なので以下ながったらしい説明。

パスワードリセットに個人情報を使うようにする。

twitterのアカウント設定を開きます。

https://twitter.com/settings/account

twi-set

パスワードのリセットに個人情報を使うにチェックを入れ保存、パスワードが尋ねられるのでログインパスを入れてあげればOK。

twitter登録メールアドレスの変更、独自アドレスにしよう。

twitterの登録メールアドレスを誰にも教えていない独自の物に変更します、他人が知っているとメールの所に個人情報を使うにチェックした意味がありません、電話番号も同様にリスクがあります。

独自のアドレスは必ず使えるメールアドレスを使ってください、適当なのはダメです。

独自のアドレスのためにアカウントを新規に作るのは骨なので、GmailやhotmailやAppleのiCloudなど代表的なフリーメールにはメールエイリアスと言う機能があって違うアドレスを作ることができますのでソレを利用します。

管理が面倒ですがSNSやアマゾンのアカウント登録ごとにメアドを変えたりエイリアスを作ったほうがいいでしょう。

フリーメールのアカウントを持ってない人は便利なので一つはゲットしておきましょう。

エイリアス対応の代表的なフリーメールの設定方法のリンクを貼っておきます。

Gmailのエイリアスの追加

http://support.google.com/a/bin/answer.py?hl=ja&answer=182527

gmail は既存アドレスに+○○○とすればいいのでエイリアス設定が楽。

hotmailのエイリアス追加

4月からWindowsLiveのアカウントに完全移行したのでメールがoutlook.comに変わり年間10アカウントまでエイリアスが使えるようになっています。

http://windows.microsoft.com/ja-jp/windows/outlook/alias-rename-link-faq

WindowsLiveのアカウントにログインして受信トレイでギアのアイコン押すと「メールの詳細設定」と出るのでクリックすると下のようなオプション画面がでます。

ol01

エイリアス作成をクリックしパスワード再度入力すれば下の画面が出るのでそこで追加できます、追加できるアドレスは@outlook.jp @outlook.com @hotmail.co.jp @live.jpと豊富。

ol02

iCloud.comのエイリアスの設定

iPhoneやiPadなどApple製品ユーザーならアカウント持っていると思います、短くて良かったme.comからiCloud.comに統一されたAppleのicloud.comは3つまでエイリアス登録できます。

http://support.apple.com/kb/PH2622?viewlocale=ja_JP

Myoperaの設定

ブラウザーのOPERAにもmyoperaという便利なアカウントサービスがあってGmailと同じ方法でメアドに+でエイリアスが使えます、ピリオド位置のエイリアスは不可。

exsample@myopera.comのアドレスにaliasというエイリアスを追加したければ

exsample+alias@myopera.com という感じになります。

my operaのアカウントはこちらで登録できます。 http://my.opera.com/community/

メールアドレス変更

エイリアスの専用アドレスができれば https://twitter.com/settings/accountにアクセスしてアドレスを変更します。

twi-002

アドレスの変更が終われば元々のメールアドレスと新しいアドレスにそれぞれメールが届きますのでメールの指示通り処理してください。

twi-003

元々のアドレスに届いたメール

twi-004

新しいアドレスに届いたメール

パスワード変更

以上の準備が済めばパスワードの変更をします。

アカウント設定画面 https://twitter.com/settings/password

twi-007

パスワードの強度がリアルタイム出でますので弱いパスワードは避けるように

強いパスワードの組み方はアルファベットの大文字小文字プラス数字を組み合わせたもので、「pass」より「Pass」や「PaSs」などの方が強くなります、また数字を追加するのも「pass0000」や「pass1111」のような連番は弱いので「pass1112」の方が強いようですが同じ文字の組み合わせでも「111Pass2」の方が多分やぶられにくいです、桁数が長いほど強度が増しますが、「toruhashimoto」のような有名人や「oosakafu」のような辞書に乗っている単語だといくら長くても弱いパスワードになるので注意しましょう。

パスワードの設定変更が終わればメールが再び届くので確認すれば作業終了、お疲れ様。

誰が狙ってるのか気になる。

twitterの運営にも今回の件はメールしておいて乗っ取りにきたIPの開示とアクセス禁止をお願いしておいた。

乗っ取られた人はURL踏んでいないのにこういう風になったらしいです。

twi008