Twitterの「レイバン激安」で考える、もう1つの「使い回し対策」

　

　「レイバン激安」――そんな言葉がTwitterのタイムラインを埋め尽くしています。2015年1月にも偽ブランドの宣伝が多数投稿されていて、注意喚起が行われていたにもかかわらず勢いは衰えません。この問題は見た目以上に根深いので、改めて注意すべき点を解説したいと思います。
　
　●Twitterスパムが原点回帰した？
　
　　「レイバン激安」スパムの問題点は、Twitterのアカウントの乗っ取りに、おそらくパスワードリスト攻撃が行われているという点です。
　
　　これまでのTwitterスパムは、時事的な事件や芸能ゴシップをフックとし、「続きが読みたかったらこちら」という文言でクリックさせ、アプリ連携をさせるという手口が一般的でした。このようなやり方は、ほぼ100％がスパムメールを送るためのメールアドレス収集目的ですので、「Twitterのアプリ認証は、もう使わないに限る」が結論であることに変わりはありせん。
　
　　ところが、今回の「レイバン激安」や2015年1月に発生したプラダの財布、UGGのムートンブーツといった偽ブランドの宣伝は異なります。スパム投稿をさせられてしまったツイートを確認すると「via Twitter Web Client」と表示されています。
　
　　これは、WebブラウザからTwitterにログインしたときに表示されるアプリ名です。つまり、レイバン激安投稿は不正なアプリ連携からではなく、第三者がユーザーのIDとパスワードを使い、直接投稿しているものとみられています。要するにレイバン激安投稿をしている人は「IDとパスワードが漏れている人」です。
　
　●Twitter、Facebook、Google、金融機関だけでも対策を
　
　　前回、二要素認証を紹介しました。そのときにも「『もし乗っ取られたら人生を左右しかねないもの』から利用すべし」と書きました。
　
　　Twitterはまさに乗っ取られたら人生を左右しかねないサービスになっています。もし勝手に犯行予告や誹謗中傷の書き込みがされたとしたら……。考えたくないですよね。むしろ「レイバン激安」程度の投稿でIDとパスワードの流出の可能性に気付けたとしたら不幸中の幸いかもしれません。
　
　　さて、IDとパスワードはどこから流出したのでしょうか？　今回の件でTwitterのサーバに不正侵入があったというニュースは聞こえてきません。ということは、同じIDとパスワードの組み合わせを使っているほかのWebサービスやWebメールから過去に流出したものが「名簿」として犯罪者の間で流通している可能性を疑いましょう。…