ミラティブからTwitterアカウントが乗っ取られる原因と対策

スマホゲームの配信に特化した配信アプリのミラティブですが、配信中にTwitterアカウントを乗っ取られたという報告が相次いでいます。

ここに私が知りうる乗っ取りの対策を書きますので、よければお役立てください。

間違いや追加情報があれば随時加筆、訂正していきます。

※あくまで私個人が思う有効な対策です。
この情報はミラティブ公式の記事や他サイトでも紹介されているので、それらを確認した上で、万全な乗っ取り対策を講じるようお願い申し上げます。

また、筆者はiPhoneユーザーですので、Androidユーザーと若干勝手が違うかもしれません。

追記:ここに書いてあることと同じ手口で認証コードの不正取得を繰り返し、書類送検された例があるようです。

「認証コード」不正取得の疑い　高校生ら4人書類送検（関西テレビ） - Yahoo!ニュース

乗っ取り手口①：通知で認証コードの不正取得

ミラティブはスマホ画面をそのまま録画、配信するアプリなので、ゲームに限らず画面に表示されるもの全てを配信します。

この仕組みを利用して、

①TwitterのID(＠から始まるアレ)から配信者のTwitterアカウントにパスワードリセットを行う

②パスワードリセットに使用する認証コードのバナー通知が配信中に表示される

③表示された認証コードを元にパスワードをリセットして乗っ取り

この手順で乗っ取りが行われます。

手口①の対策

①通知オフ

通知から乗っ取られるなら、まず通知が見られないようにしましょう。

メール、SMSなどのTwitterアカウント作成に利用したアドレスや電話番号に関連するものは全て通知を切っておきます。

Twitter以外にも家族や他者とのやり取りを見られたくない人は、該当するメッセージアプリの通知も必ず切りましょう。(LINEとかDiscordとか)

②パスワードリセットの保護

Twitterの【パスワードリセットの保護】をオンにしましょう。

これはTwitterでパスワードをリセットするときに、アカウント作成に使用したメールアドレスや電話番号の確認が求められる機能です。

この機能をオンにすることで、IDだけで認証コードの発行が困難になるので、通知が届かなくなります。

設定方法

Twitterの【設定とプライバシー】
↓
【セキュリティとアカウントアクセス】
↓
【セキュリティ】
↓
【パスワードリセットの保護】をオン

乗っ取り手口②：キーボードから認証コードを不正取得(iPhoneのみ)

ふたつ目の手口は、キーボードに表示される認証コード通知からパスワードをリセットする、です。

iPhoneではSMSなどに認証コードが届いた場合、コードを素早く入力できるように、キーボードに自動で表示させる機能があります。

この動作についてはAppleのサポートからご覧ください 

配信中に認証コードを申請した後に、配信者にiPhoneのキーボードを見せるように促し、盗み見をします。

これの厄介な点は、従来の「通知切ればOK」の対策が通じない点です。

手口②の対策

①自動入力をオフ

iPhoneの設定画面からキーボードの自動入力機能をオフにしましょう。

iPhoneの【設定】アプリ
↓
【パスワード】
↓
【パスワードの自動入力をオフ】

②パスワードリセットの保護

そもそも認証コードの発行自体を防ごう、ということでこちらも有効。

主な効果は手口①の記載内容と同じです。

連携を切るだけでは不足

よくTwitter上で言われてる乗っ取り対策として、『ミラティブとTwitterの連携を切っておけば大丈夫！』という意見がありました。

確かに連携を解除しておけば、ミラティブからTwitterアカウントがバレる可能性が減るので、その対策も間違いではありません。

しかし、連携してた時の配信開始ツイートが残ったままになっていたり、フォロワーや視聴者とのやりとりなどで、配信者とTwitterアカウントの中の人が同一人物であることを見抜かれると、結局配信中にターゲットにされます。

そのとき通知を切るなどの対策をしていなければ、アカウントが乗っ取られる可能性が高いです。

なのでミラティブとTwitterアカウントの連携を切るだけでは対策としては不十分であると私は思います。

まとめ

・乗っ取りは認証コードの不正取得で実行される
・『通知を切る』『パスワードリセットの保護』『自動入力オフ』などを利用して、配信画面に認証コードが映らないようにする
・Twitterとの連携を切るだけでは対策として弱い

以上です。

ミラティブの乗っ取りは単純な仕組みなので、簡単に仕掛けられる分、実行に移す人たちが多いです。
(現に学生が書類送検されてるし)

しかし単純ゆえにその仕組みを理解して対策をすれば、乗っ取られる確率をグッと抑えることができます。

今回はミラティブに限定しましたが、同じ仕組みで配信するアプリなら同様の対策効果が見込めると思います。

しっかり対策をして、自分のアカウントを乗っ取りから守りましょう。