最近、Twitterで懐かしき“偽レイバン”の乗っ取り被害が再燃しています。地方自治体の公式Twitterや人気俳優も、偽レイバンの宣伝ツイートをしてしまうなど、被害が拡大。手口は、古典的な「パスワードリスト攻撃」ではないかとみられます。うっかり引っかかって「あの人はセキュリティ意識が薄いのかな?」と思われて恥をかかないためにも、しっかり対策しておきましょう。

公的機関の公式Twitterが“偽レイバン”の宣伝ツイート

4月9日の深夜、北海道帯広市の公式Twitterが突然意味不明のツイートをしました。「わずか24時間 円2,399 レイバン公式サイト」(本文ママ)なる画像付きツイートです。

帯広市の公式Twitterが“偽レイバン”の乗っ取り被害に遭ってしまった


昔からのSNSユーザーなら一度は目にしたことがあるであろう、懐かしの“偽レイバンの乗っ取り”です。悪意のある人物が、他人のSNSアカウントを乗っ取る形で宣伝のスパムツイートをする行為です。

このスパムツイートでは、解読不明の文字列が並ぶとともに、複数のTwitterユーザーへメンションをしていました。メンションの先は不特定多数のユーザーで、宣伝や拡散を誘うためだとみられます。あざといやり方です。

ほかにも被害の声が上がっており、「Yahoo!リアルタイム検索」によれば、3月25日ごろから乗っ取られたというツイートが増え、さらに4月5日以降に増えています(9日夜に大きなピークがあるが、これは注意喚起の記事が掲載されたことによるもの)。

Yahoo!リアルタイム検索での「レイバン 乗っ取り」の書き込み推移


偽レイバンの乗っ取りは、2015年ごろにFacebookで多く発生して話題になり、その後も何度か被害が出ています。今回は、久しぶりの大規模被害といえそうです。

パスワードの使い回しを狙う「リスト攻撃」か

第三者に勝手にツイートされる手口としては、大きく分けて「パスワードリスト攻撃」と「不正な連携アプリ」の2種類があります。今回の乗っ取りの手口は「パスワードリスト攻撃」によるものと筆者は推測しています。

今回の被害ツイートを見てみると、複数の人が「知らない場所からのログインがあった」との声を上げています。Twitter社からのログイン通知で気づいたケースが多く、他人が勝手にログインしたとみられます。そのため、今回乗っ取られた人は、パスワードが何らかの形で第三者に漏れた可能性が高そうです(不正な連携アプリの可能性も残っていますが)。

パスワードリスト攻撃とは、過去に漏れたパスワードがリスト化されたものから不正ログインを狙う手口です。

パスワードリスト攻撃は「使い回し」が大きな原因


今まで、さまざまネットサービスからログイン用のIDやパスワードが漏洩してきました。これらの流出データは、ネットの裏側ともいえる「ダークウェブ」などの闇サイトで販売されることがあります。

悪意のある人物は、このデータを入手して、さまざまなネットサービスでログインを試します。「いろいろなWebサイトで同じIDとパスワードを使い回している人もいるはずだ」と考えるからです。

日ごろ利用してるさまざまなWebサイトで管理するパスワードが多すぎるために、同じパスワードを安易に使い回している人はいませんか? 同じメールアドレスをログインIDとして使っている人も少なくないでしょう。

その結果として、同じIDとパスワードをいろいろなWebサイトやWebサービスで使い回している人がいれば、悪意のある人物がまんまと不正ログインできてしまうわけです。今回の被害がパスワードリスト攻撃だと断言はできませんが、その可能性は高いといえるでしょう。

恥ずかしいうえ、偽サイトの拡散に加担することに

つまり、“偽レイバン乗っ取り”の被害に遭うということは、その人のパスワード管理が甘いからだともいえます(これまで推測した手口が用いられている、という前提ですが)。被害に遭ってしまうと、SNSでつながっている人に「あの人はセキュリティ意識が低いんだ」と思われ、恥ずかしい思いをしてしまうでしょう。

今回の犯人の目的は、偽レイバンのショッピングサイトへの誘導です。乗っ取ったアカウントの信用度を利用して、偽ショッピングサイトで買い物をさせようとするものです。

誘導される偽レイバンのショッピングサイト


その一例が上のサイトです。「レイバン公式」と称していますが、当然ながらニセモノ。あくまで推測ですが、クレジットカード番号やセキュリティコードなどを盗み取るための詐欺サイトだと考えられます。乗っ取り被害にあった場合、この詐欺の加担者にもなり得るわけです。

対策は「パスワードは1つ1つ別のものに」「2段階認証」

もし、偽レイバン乗っ取り被害に遭ってしまった場合は、速やかに以下のような対処をしてください。

○Twitterの乗っ取り被害に遭った場合の対処方法

Twitterのパスワードを変更する(他で使っていない独自のパスワードにする)

乗っ取りツイートを削除し、謝罪や注意喚起のツイートをする

Twitterの「2要素認証」を設定する

念のため、連携アプリに不審なものがないかチェックする

2要素認証は、Twitterの「設定とプライバシー」→「アカウント」→「セキュリティ」→「2要素認証」から設定できます。連携アプリは「設定とプライバシー」→「アカウント」→「アプリとセッション」でチェック可能です。

また、パスワードリスト攻撃の被害に遭わないための対策もまとめておきます。

○SNSやWebサービスでのパスワード安全管理術

パスワードは、すべてのサービスで別のものにする(使い回しをしない)

パスワードは「可能な限り長く」する

個々のパスワードは覚える必要はない。パスワード管理ソフトか、表計算ソフトで管理。表計算ソフトのファイルにはパスワードをかけ、そのパスワードだけはメモして忘れないようにしておく

2要素認証(2段階認証)を設定する

すべてのサービスのパスワードを別のものにするのはとても大変な作業です。しかしながら、パスワードリスト攻撃が続いている現在では、必要不可欠な対策といえます。大事なサービスからパスワードを変更していき、同時に2要素認証も設定しておきましょう。