より安全なつぶやき環境を実現するためのTwitterの12Tips(SophosBlog翻案) - 適宜覚書-Fragments

より安全なつぶやき環境を実現するためのTwitterの12Tips(SophosBlog翻案)

      2017/03/03

元ネタは12 tips of Christmas - A safer Twitter for 2010 | Chester Wisniewski's Blog。才能が無いので、精訳は出来ません。それは優秀な方にお願いします。あらすじだけ超訳します><。というか、気がついたところをあれこれ足したり削ったりしたんで原文とは翻案というにもかけ離れたかも…。是非原文も読んで下さい。

歴戦のTwittererには常識中の常識とは思いますけれど、日々Newbieが増えているのです。特に11番「 パスワードを安全なものに変更し、API経由のアクセスも見直すこと 」は、自分は大丈夫と思っているベテランTwittererもポックリ逝かないように目は通して下さい((初心者より慢心したベテランの方が危ないから))。重要で緊急を要します。

1.TwitterアプリではOAuth認証のあるものを極力使うこと

OAuth認証は、アプリケーション開発者にTwitterの情報にアクセスを許可するセキュアな方法です。アプリケーションが使用するOAuthは、アプリケーションのリクエストを受けるかどうかの確認画面にリダイレクトして、そこで「承諾」「キャンセル」を選択できます。後でアプリケーション毎にRevokeすることも出来ます。ですので、直接TwitterのID/Passを要求するサイトは、しばしばフィッシングのカモを集めるための偽装であったりしますし、余程のことが無い限りはOAuth認証のあるアプリケーションの使用をお勧めします。

2.何でもかんでも開示しないこと

つぶやき界の気安さは異常です。家で寝っ転がってリラックスしてるのと間違えるほどです。だからと言って個人の詳細情報をダダ漏れするのはちょっと考えもの。不要不審なコンタクトやら、ストーキング、なりすましをされたいなら話は別ですが…。

3.位置情報管理をしっかりすること

Google Buzzでも大騒ぎになりましたが、曲がりなりにもTwitterにもGPS対応機能があります。まあ、家族やらお友達やらストーカーやら政府機関やら会社やらから追跡されるのが快感を呼ぶような特殊嗜好の方は是非GPSで座標を送信しまくってください。Sophos的には例外なくこの機能を無効に設定することをお勧めしますけれども…。

4.リンク付きRetweetは気をつけること

闇雲にリンク付きつぶやきをRetweetしない方がいいです。((これギクリとなる人多そうです))送信前に実際にリンク先を確認しておくこと。多くのスパム攻撃は、より多くのカモに波及するように闇雲なRetweetに上手くのっかるようにソーシャルエンジニアリングを駆使してくるのでユーザが賢くなることが大事です。共犯者になりたくないでしょう?

5.知らない人のDMは悪者の乗っ取り常とう手段

知らない人からのDMは、とにかく警戒することです。日々多くの人がフィッシング攻撃の被害に遭遇し、情報を騙し取るサイトに呼び寄せてアカウントの乗っ取りをされたりします。乗っ取られたアカウントからは悪意あるサイトの短縮URL付きDMを送りまくったりします。

6.短縮URLは事前展開してから見に行くこと

短縮URLは、実際に見に行く前にURLを展開してプレビュー出来るサービスを使ってから見るべきです。 Bit.ly、TinyURL、is.gdを含む多くの会社がこういった短縮URLの自動展開する(或いは短縮URLの後ろに展開用プラスマークを表示する)方法をサービスとして提供しています。LongURL | The Universal Way to Expand Shortened URLsを利用するのも良いでしょう。

7.削除されたつぶやきについて理解すること

メールと違ってつぶやきの削除は本当の消滅を意味しません。削除したつぶやきは自分のタイムラインに表示されなくなりますが、SMS経由で携帯電話に伝送したもの、サードパーティのTwitterクライアント向けに既に配信されているものがどこかに残るかも知れず軽率な発言は慎むべきなのです。

8.プロテクトなんてあまりあてにならないと理解すること

Facebookと違ってTwitterのプライベートは儚いものです。信用に足りません。確かにプロテクトされたTwitterアカウントは一定のセキュリティを提供しますが、アクセスを許可している友人が脅威に囚われそこから被害にあう可能性は十分にあります。悪者はそういうユーザ間の信頼関係を狙っていて、友人や家族経由で詳細の個人情報を摂取することに余念が無いのです。((意外かもしれませんが、悪者の方が人間心理に長けており、人間を…人間の習性を全幅の信頼を持っています))

9.友人・知人のなりすましに注意すること

なんか普段だったらありえない文脈や物言いで友人がDMしてきたらヤバいと思うこと。乗っ取られている可能性が高いのです。それともあなたの友人はいきなり「バイアグラがどうの」とか「お前のFollowを40倍に増やしてやるぜ」とか言い出しますか?それなら分かりませんけど、友達選んだほうがいいかもしれませんね。あ、僭越でした。後、リンク先の短縮URLはやはり展開してから見た方がいいですよ。

10.Twitter関連の脅威関連情報の警告や勧告を入手しよう

@spamではTwitter関連の脅威関連情報の警告や勧告を流してくれるので是非Followしましょう。後、Followerを確認したり、DMに返信したりTwitterの操作をする場合は、Twitterクライアントを使うか公式のtwitter.comのwebサイトを使うべきです。メール経由で来たTwitterに書かれているリンクをクリックして直接アクセスしてはいけません。

以下3/11追記です。メール経由のDMへの対応をTwitter社で一斉に行いました。比較的素早い対応で随分頑張っています。ただ、これがどれだけ有難いことかは恐らく一般のユーザには理解されないかもしれません。強制的に対応することでフェイルセーフを狙うのが一番実効的であることが理解出来る反面、ユーザの認識が追い付かなければ幾らでも穴はあるなあと個人的に感じました。

米Twitterは9日、フィッシング詐欺サイトのリンクを検出するサービスを開始したことを明らかにした。Twitterに投稿されるすべてのリンクを新サービス経由でルーティングすることにより、不正なリンクを検出。不正なリンクをクリックしても、これらのサイトにアクセスしないようにする。

新サービスの開始当初は、Twitterを標的としたフィッシング攻撃が多く発生している、ダイレクトメッセージ(DM)およびDMが届いたことを告知するメールで出回るリンクを対象とする。これらのリンクはTwitterのURL短縮サービスにより、「http://twt.tl/...」と短縮されるという。

11.パスワードを安全なものに変更し、API経由のアクセスも見直すこと

簡単で弱っちいパスワードを妥協して使っているなあという自覚があるなら直ちにパスワードの変更をすべきです。ブルートフォースで速攻抜かれちゃいます。認証が簡単入力出来ることとセキュリティどちらが大事なんですか?((正解は両方です。但し、二者択一であれば、セキュリティに重きを置くべきでは?))また、パスワード変更の際はTwitterAPI経由でアクセスしている全てのアプリケーションについて、アクセスの取り消しを行い再登録すべきです。既にAPI経由のアクセス権限を盗用されている場合、取り消しを行わない限りは従来通り悪用され続けるからです。

これまでの経緯からTwitter社は乗っ取りが既に被害を多く生んでいる深刻の場合は、強制的に乗っ取られた問題アカウントのパスワードの初期化を促すか、強制初期化を実施しその旨連絡をします。強制初期化されたとしてもブーブー言わないこと!全ては自分が問題を引き起こしていることを自覚して早急に対処する必要があります

アックス・グラインディング:ax-grinding攻撃(公的には別名になるかもしれませんが…)は深刻であり、今後も増え続けるため、ユーザの理解と対処が必要です。フィッシング詐欺が進化の予感~Twitterパスワード流出問題~:一般システムエンジニアの刻苦勉励:ITmedia オルタナティブ・ブログTwitterのパスワード流出問題、根本原因はユーザーの使い回し - ITmedia エンタープライズを併せて読んで下さい。非常に重要な記事です

12.会社や有名人の偽物を回避すること

可能であるならFollow先の人が本人かどうか確認してください。例えば、どこかの企業や有名人をFollowしているなら、そのTwitterIDは企業やその人のWebサイトに記載されています。((或いは認証済みアカウントを持っています))ちなみにBritney SpearsのTwitterアカウントは50以上の変種があり、その多くが悪意あるアカウントです。

適宜覚書-Fragmentsは、筆者が興味をもった様々な情報やネタを筆者が忘れても後で思い出せるよう覚書として公開するBlogです。Google Chrome拡張、Facebook、Google、Twitter、Windows、各種Webアプリなどを扱うことが多いです。この覚書が、もし何かお役立ちになれば幸いです。

 - Facebook, Google, Tips, セキュリティ, レビュー , , , , ,