[CNET Japan] 将来Twitterをつかったフィッシング「twishing」も？--専門家がセキュリティを懸念

　ソーシャルネットワーキングサービス（SNS）の「Twitter」がこのところ急速な勢いでユーザー数を増やし、人気を集めている。しかし、あるセキュリティ企業の専門家が、Twitterに潜むセキュリティの問題について警告を発している。

　Twitterは、2006年3月に誕生したソーシャルネットワーキングサービス。Twitterのウェブサイトやインスタントメッセージング（IM）、ショートメッセージサービス（SMS）、RSSなどを通じてユーザー同士で短いメッセージを手軽にやり取りすることができる。「いまなにをしているのか」といった切り口で、リアルタイムな情報をやり取りするのが主な使い方になっている。

　IMセキュリティベンダーのFaceTime Communicationsでセキュリティ専門家を務めるWayne Porter氏は、Twitterに潜むセキュリティの問題について同社ブログに投稿している。ブログによると、Twitterはユーザーの認証方法が不十分であるため、簡単に他人になりすますことができるという。そのためすでに、複数の有名人を語るユーザーが存在し、中にはSteve Jobs氏を名乗る人物も目にするという（もっとも同氏は、これが通常のIMでも発生する問題だとしている）。

　Twitterはまた、長いURLアドレスを、リダイレクトサービスや短縮サービスを使用して短くするようになっている。これは、同サービスで投稿できるメッセージの長さが140文字までに限定されているためである。Porter氏は、このURLの短縮機能が原因で、ユーザーがリダイレクト先のページやどこにリンクされているのかをアドレスを見るだけでは把握することができなくなっていると述べる。そのため、悪意あるユーザーがこの機能を悪用し、悪質なウェブサイトやJavaScriptを埋め込む可能性があると警告する。将来的にはTwitterを利用したフィッシング詐欺（同氏はこれを「twishing」と呼んでいる）が登場すると予想している。

　Twitterはユーザー認証に電話の発信者番号識別を採用しており、この発信者番号を悪用したなりすましの方法も同氏はブログの中で述べている。発信者番号の偽装を支援するサービス「Fakemytext.com」を利用することで、発信者番号さえ知っていれば別のユーザーになりすましてメッセージの投稿が可能になるという。この手法はOreilly.netが4月6日に明らかにした。Oreillyによると、この手法はtwitterだけでなく、同様に発信者番号識別を採用している音声認識サービス「Jott」も影響を受けるという。

　Porter氏は、こうした新種の技術の利用を企業は当面ブロックしたがるだろうと述べる。同氏は、企業のイントラネット向けバージョンができるか、セキュリティが向上するまでは、これは非常に洗練された個人ユーザーの間で利用されるものだと述べる。しかし、Porter氏は個人ユーザーによる利用が、いずれ企業にも影響を及ぼすと予測する。

　「技術が成熟し、より安全なものになれば、企業はこうした仕組みを採用し始め、おそらく『流行遅れのブログ』の代わりに利用するだろう。個人の間で流行したマイクロフォーマットを企業がある程度利用しなければならなくなる日が、必ずやってくる。それまで、個人ユーザーには、楽しんで欲しい。ただし、細心の注意を払いながら」（Porter氏）