Twitterが乗っ取られやすいシンプルな理由


この記事の所要時間: 250秒 〜 350秒程度(1654文字)


経営不振が周知のものとなり、この秋には買収騒動も持ち上がったTwitter。アクティブユーザー数が頭打ちで、収益化も思うように進んでいないようだが、今でもSNS(ソーシャル・ネットワーキング・サービス)の代表格であることに変わりはない。「TwitterはSNSではない」という議論はさておき、SNSと言われてまず最初にTwitterを思い浮かべる人は多いはずだ。
 
Twitterでよく話題になるのが、アカウント(ログインする権利)の乗っ取り騒動だ。ある人のアカウントに別な人がログインして、勝手なことをつぶやいたりする事件が後を絶たない。この原因として、ユーザーのパスワード管理の甘さを指摘されることが多いが、Twitter側にも問題があるように思う。Twitterのログインの仕組みを考えれば、乗っ取られやすいのは当たり前だ。
 

credit: PDPics via pixabay

credit: PDPics via pixabay

 


ユーザー名でログインできるということは・・・


Twitterのログインの仕組みは自由度が高い。パスワードは必須となるが、自分のアカウントを指定する情報は、(1)電話番号、(2)メールアドレス、(3)ユーザー名の3つから選ぶことができる。
 
そして、(3)ユーザー名でログインできることが乗っ取られやすい理由。Twitterの場合、誰のアカウントであっても、ユーザー名(@の後に表示される半角英数字等の文字列)は、いつでも誰でも確認できる。つまり、Twitterは周知の情報(ユーザー名)とパスワードの組み合わせでログインできるのだ。自身のアカウントを守っているのは実質パスワードだけ。メールアドレスなど自分と周囲の一部の人しか知らない情報でログインするのとは訳が違う。
 
例えば、有名人のアカウントを乗っ取ろうとしたとして、ログインにメールアドレスが必要なサービスの場合、これがわからなければ話にならない。その点、Twitterならユーザー名は周知なので、パスワードを推測するだけでログインできる。これが、Twitterが乗っ取られやすいシンプルな理由だ。セキュリティ感覚の甘い人がいることを考えれば、よく使われるパスワードの上位10個で100アカウントくらいトライすれば、2つや3つは乗っ取れても不思議はない。
 


周知の情報でログインできるサイトは危険!


この状態を他で例えるなら、ATMの前にキャッシュカードを放置しているようなもの。ユーザー名&パスワードをキャッシュカード&暗証番号になぞらえて考えれば、Twitterはカードが誰でも使えるフリーな状態になっているのと同じこと。2つのものが揃うことでアカウントを守っているはずが、実は片方はセキュリティ的に役立たずなのだ。
 
もちろん、「2つや3つ」は当てずぽうの推量だし、実際にやれば犯罪となるので試すことはできない。とは言え、パスワード1個のみで守られているアカウントがかなりリスキーなのは間違いないだろう。Twitterに限ったことではないが、周知の情報&パスワードでログインできるサイトは危険性が高いと認識する必要がある。
 


危険を察知したら自己防衛あるのみ


さて、これを由々しき事態と言っても何も始まらず、危険を察知したら自己防衛あるのみ。これを読んでTwitter乗っ取りの不安を感じたなら、パスワードを複雑なものにするなり、ログイン認証(2段階認証)を設定するなりするのがオススメだ。
 
無駄に不安を煽るのは趣味じゃないが、実質的にパスワードのみで守られているサービスの危険性はあまり指摘されていないように思う。Twitterのアカウントが、ATMの前に放置されているキャッシュカード状態であることに気付いていただければ幸いだ。

  1. コメントはまだありません。

  1. トラックバックはまだありません。

This blog is kept spam free by WP-SpamFree.