Twitter乗っ取りの仕組みと、乗っ取られた時の対策

本記事が取り上げているスパムについて、より分かり易く紹介している記事です。

（追記：2023年7月8日）

---

昨日、私のTwitterアカウントが一時的に乗っ取られてしまった事を書きました。私のアカウントからスパムDMが届いてしまった方々には、改めてお詫び申し上げます。

このスパムについて、細かく調べたことを本記事で紹介します。

調査用アカウント作成

普段使用しているアカウントはスパム調査に使用できないので、新しいアカウントを作りました。

Tweets by Uy5jWZNQaFyiFPi

このアカウントのフォロワーは、私が普段使用しているアカウントのみです。そのため、乗っ取られてもスパムが拡散することはありません。

スパムの内容

スパムのスクリーンショット

TwitterのDMで送られてくるスパムの内容について見ていきます。

DMで送られきたスパム

スパムでは、上の画像ようなDMが送られてきます。DMには、自分のアカウント名と"l.instagram.com/…"というURLが記されています。

スパムのリンク先

このリンクをタップまたはクリックすると、インスタグラムではなく別のサイトに誘導されます。縦長なので3回に分けて撮ったスクリーンショットを以下に貼り付けます。なお、Googleの広告は消してあります。

リンク先のサイト（その１）

リンク先のサイト（その２）

リンク先のサイト(その3)

なお、私が調べた限りではサイトのURLは、以下の5種類が見つかりました。

• https://askfollow.us/#BST

• https://freeadd.me/#BST

• https://more-followers.com/#BST

• https://twitterfollowers.site/#BST

• https://twitob.com/#BST

私も乗っ取られてしまいましたが、インスタグラムのサイトにアクセスしたはずなのに、URLが違っている時点で怪しむべきでした。

Twitter でログインすると、どうなるか？

上のサイトには「LOG IN WITH TWITTER」と書かれたボタンがあります。これを押すと、次のようなページに飛びます。

ボタンを押すと表示される画面

急所

上の画面が、Twitter乗っ取りの急所です。ここに表示されている英文を DeepL翻訳で日本語に変換すると以下のようになります（一部、手で直しています）。

最初にアプリを認証しましょう！素晴らしい！ アプリについてもっと知る→

Yarimyamalakがあなたのアカウントにアクセスすることを許可しますか？

[アプリを承認する] [キャンセル]

このアプリケーションでは、以下のことが可能になります。
・タイムラインのツイート（保護されたツイートも含む）、リスト、コレクションを見ることができます。
・自分のTwitterプロフィールやアカウント設定を見ることができます。
・フォロー、ミュート、ブロックしているアカウントを確認できます。
・フォローやアンフォローができます。
・プロフィールやアカウント設定を更新する。
・お客さまが投稿したツイートの投稿・削除、お客さまが投稿したツイートへの参加（いいね！、アンいいね！、返信、リツイートなど）。
・リストやコレクションの作成、管理、削除ができます。
・ミュート、ブロック、アカウントの報告。
・ダイレクトメッセージの送信、およびダイレクトメッセージの閲覧、管理、削除ができます。

ここで、最後の行の「ダイレクトメッセージの送信…ができます」という部分が重要です。

これは、 Yarimyamalak が、あなたのアカウントを使ってDMを送信できるようになることを意味します。

そして、「Authorize App」ボタンを押してしまうと、実際にそのようになり、自分のフォロワーにスパムDMが送られてしまう、という仕組みです。なので、この画面の「Authorize App」ボタンは絶対に押してはいけません。

ちなみに、「Authorize App」の注意書きを読めば分かる通り、このボタンを押すと、普段あなたがTwitterで行っている操作の全てを、誰だか判らない Yarimyamalak も行えるようになります。つまり、アカウントが乗っ取られた状態になります。

アカウント設定の更新もできるようになるので、パスワードを変更されてしまう可能性もあります。

乗っ取られた後の対策

乗っ取られたらどうなるか？

ここでは、調査用アカウントを使って、実際に「Authorize App」ボタンを押してみます。

すると、以下のような、謎のページに飛びます。

Authorize App を押して表示されたページ

そして、瞬時にフォロワーにスパムのDMが送られました（この実験では、私のアカウントにしかスパムは送られていません）。

対策１：アプリの連携を解除する

Twitterで乗っ取られたアカウントにログインして、連携しているアプリを確認します。確認の仕方は、昨日の記事に書いてありますので、必要な方は参照してください。

次のスクリーンショットは、実際に乗っ取られたアカウントで、連携しているアプリを表示させた様子です。

乗っ取られたアカウントでの、連携しているアプリ

Oncedenというアプリが乗っ取りを行っているアプリになります。人によっては、乗っ取りを行っているアプリの名前が違う可能性もありますので、以下の説明を参考にして、危険なアプリを見つけてください。

乗っ取りを行っているアプリのアイコンを押すと、以下のような画面になります。

乗っ取りを行っているアプリのアクセス権

ここで重要なのは、「アクセス権」の箇所に「読み取り、書き込みとダイレクトメッセージ」と表示されている所です。

今回のスパム以外でも、アクセス権が上のようなアプリは乗っ取りを行っている状態と言えます。

なので、赤字で表示されている「アプリの許可を取り消す」を押して、アクセス権を無効にします。

アプリの許可を取り消すと、連携しているアプリの一覧から、そのアプリが消えます。調査用アカウントでは、連携しているアプリがゼロ個になるので、以下のような画面になりました。

乗っ取りアプリ削除後の様子

まだアプリが残っている場合は一つ一つ確認し、「アクセス権」が「読み取り、書き込みとダイレクトメッセージ」となっているアプリの許可を取り消していきます。

ちなみに、健全なアプリのアクセス権は、以下のような感じです。この例では、Twitterに登録してあるメールアドレスのみ読み取り可能であることが分かります。

note(ノート)Appのアクセス権

対策２：パスワードの変更

乗っ取りを行っているアプリの許可を取り消した後は、Twitterアカウントのパスワードも変更しておきます。乗っ取られているときに、パスワードが知られている可能性があるからです。

google などのアカウントを使って、Twitterにログインしている場合も、新しくパスワードを設定する方が安全かと思います。

追記（2023年2月15日）

その後、2回ほど同じようなスパムが届いたので同様の方法で調べてみました。乗っ取りを行っているアプリの名前は、Birazcik と Azicik です。調べた時に取得したスクリーンショットを貼り付けます。

アプリ認証画面

アプリ認証画面

スパムから届いたアプリを連携させた様子

スパム先のアプリの権限

スパム先のアプリの権限