自分のTwitterアカウントにアクセスできなくなったら、誰もがショックを受けることだろう。この記事では、Twitterアカウントがハッキングされた場合にそれを復活させ、再びハッキングされないための対策について解説する。
この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。
SNSユーザーの中には、Twitterを利用している人も多い。青い鳥のロゴがトレードマークで、半角280文字までツイートできるシンプルさが魅力とされる。2020年3月で設立から14年目を迎えたTwitterは、私たちのデジタルライフに大きく関わっているのは間違いない。大好きな有名人をフォローする人もいれば、世界のニュースを知るために使う人もいる。最も多いのは、友だちや他のユーザーと情報交換をする人たちだろう。
しかし、あなたのTwitterアカウントが乗っ取られ、ハッキングされたら、どうなるだろうか。
ハッキングの手口
有名人であっても、一般人であっても、誰もがハッキングのターゲットになり得ることを肝に銘じておきたい。TwitterのCEOを務めるジャック・ドーシー(Jack Dorsey)さえ狙われたからだ。使われた手法はSIMスワップ攻撃だ。ハッカーは過去に乗っ取られた他サービスのデータベースを悪用し、メールアドレスやユーザー名、パスワードなどを盗み出す。
かつて存在したLeakedSourceは、ユーザー名を検索してこれらの情報を窃取できるリポジトリ *1 の一つだった。彼らは、あなたのメールアドレスや以前使用していたパスワードを入手すると、まずはTwitterにアクセスを試みるだろう。この手口で実際に被害に遭ったのは、ローリングストーンズのキース・リチャーズ(Keith Richards)やジャスティン・ビーバー(Justin Bieber)のプロデューサーであるダン・カンター(Dan Kanter)だ。
*1 システム関連のデータを一元管理する格納スペースのこと
また、この手法はクレデンシャルスタッフィング攻撃(パスワードリスト攻撃の一種)に悪用されることがある。ハッカーは情報を入手するとボットを利用し、正しい組み合わせを見つけ出すまでWebサイトへのログインを繰り返す。パスワードを使い回しているユーザーは少なくないため、正しい組み合わせを見つけるのはさほど難しいことではない。
フィッシング詐欺もその一つだ。あなたがフィッシング攻撃に遭ったとしても、恥ずかしいと思う必要はない。よくあることであり、なおかつ巧妙化しているからだ。ハッカーから送られたメールのリンクをクリックすると、TwitterのUIと酷似したWebサイトが開き、ログインを促すメッセージが表示される。偽のTwitterに情報を入力しログインすると、アカウント情報が彼らの手に渡ってしまう。
ハッキングされたらどうなるか
ハッキングされたらどうなるか、最も分かりやすいのはアカウントのロックアウトだ。ロックアウトとは、使っているすべてのデバイスでTwitterからログアウトされ、幾ら試行してもログインできない状態に陥ってしまうことだ。
この場合、最初にすべきことはパスワードの変更だ。まず、パスワードリセットフォームより、パスワードの変更をリクエストする。Twitterからメールが届いたら、その指示に従ってパスワードをリセットする。メールが届かない場合、Twitterのヘルプセンターに連絡し、ハッキングされたアカウントの復活を依頼しよう。
ハッキングやロックアウト以外に、アカウントが乗っ取られる恐れもある。その兆候はさまざまな形で現れる。あなたは自分が送っていないダイレクトメッセージ(DM)や、書き込んだ覚えのないツイートを見つけるかもしれない。自分が気付かぬうちに、勝手にアカウントに対してフォローやフォロー解除、さらにはブロックしているかもしれない。Twitterは、あなたのアカウントが乗っ取られる、あるいはアカウント情報が勝手に変更された場合、警告を通知することもある。
Twitterが推奨していることは以下の通りだ。まず、パスワードを変更すること。次に、メールアカウントのセキュリティを確認すること。そして、身に覚えのないサードパーティーアプリのアクセス権を取り消すこと、信頼できるサードパーティーアプリでTwitterのパスワードをアップデートすること。Twitterの「アカウントのセキュリティについて」にも目を通しておくこと。
再びハッキングの被害に遭わないために
一度でもハッキングの被害に遭遇してしまうと、もう二度と被害に遭いたくないと強く願うはずだ。アカウントのセキュリティを強化するための最も簡単な方法は、より強力なパスワード(さらにおすすめなのは、強力なパスフレーズ)を新たに設定することである。もちろん、乗っ取りのリスクを減らすために、そのパスフレーズを別のアカウントで使い回していないか確認しておこう。
すべてのパスワードを覚えられなくても、パスワードマネージャーを使えば問題ない。二要素認証(2FA)も利用し、セキュリティを強化すること。多要素のセキュリティによってアカウントがハッキングされるリスクを減らせるからだ。
Twitterは、テキストメッセージ、ハードウェアトークン、ソフトウェアトークンを使った認証などさまざまな2FAに対応している。いうまでもないが、Twitterアカウントだけではなく、2FAに対応している他のすべてのアカウントについても2FAを導入しておくべきだ。2FAの詳細については、こちらの記事を参照してほしい。
現時点で、あなたがハッキング被害に遭っていなければ幸いだ。アカウントを強化するために、サイバーセキュリティ情報局のアドバイスを参考にし、「転ばぬ先の杖」としてほしい。