Twitterで「診断メーカー」装う乗っ取りサイトを検証。URLでは判断不能という巧妙な手口も…
Twitterでよく目にする診断メーカー。「あなたの〇〇度は何点?」や「あなたを〇〇化!」といったお題をもとに、Webサイトにアクセスしてボタンを押すと”診断”と称した結果が表示されるというもので、フォロワーが共有することで、自分も試してみたくなるようになることから、幅広く拡散されトレンドに浮上することも珍しくない。
※「診断メーカー」は特定のサイトを指すものであるため、以降「診断系サービス」といいます
ニセ診断系サービスを検証
そんな診断系サービスを巡って「”改めて”乗っ取りサイトへの注意が必要である」という注意喚起が話題になった。今回話題になったのは【shindaan.com】というURLで提供されているウェブサイトで、「全問正解率2%以下の小学知識テスト」や「記憶力テスト」「あなたがモテる年齢は?」といった診断系サービスによくありそうなトピックが並んでいる。
実際に当該サイトの各トピックにアクセスしてみると、「診断する」というボタンがあるだけ、広告やメニューバーなどが一切なく、すでに怪しい雰囲気が漂っている。(くれぐれもサイトにはアクセスしないでください)
そしてボタンを押すとURLではなく「185.193.xxx.xxx」というIPアドレスに直接リンクし、何故か10秒以上という異様に長い接続待ちが発生。開発者ツールを用いて通信内容を解析してみた限り、特に不審な挙動はないことから、単純にサーバーが重かったり遠い海外のサーバーにあったりする可能性が高い。
暫く待つとTwitter系サービスでよく見るアクセス認可を求めるページに遷移した。このページ自体はニセサイトではなく、URLもtwitter.comと正規のものになっていた。ここで「連携アプリを認証」ボタンを押すと最期、乗っ取りが可能になる。
特に今回の場合はサービス側が認可を求めている範囲が非常に広く、一度「認証」をしてしまうとタイムラインツイートの取得からツイート送信・削除・いいね・RTを行う権限、ブロック&ミュート権限、フォロー&フォロー解除権限、リスト作成権限などをサービスが行える状態になってしまう。
なお、以前のTwitterの開発者向け機能では「Read(読み出しのみ)」「Read+Write(読み出し+書き取り)」といった複数の段階で取得可能な権限が開発者側で設定可能だったが、昨今の大幅なTwitter APIの改訂で利用できなくなったとの声もあるため、上記のような表示は”仕方がない”とされることもあるという。
※因みにより詳細に解析してみたら、当該サイトは防弾ホスティングを用いているようで悪用可能性は極めて高いと想定される
URLが”正しい”という巧妙な場合も…
このようなニセ診断系サービスは原則「URLが怪しい」かどうかで判断することが最も効果的で、今回の場合は「shindaan.com」とaが一文字多いというものだった。
しかし、中にはTwitterのカード機能と呼ばれるURL先のサイトをプレビューする機能を使って「URLをちゃんと正規の診断メーカーと見せかける」という巧妙な手口を行うものも存在しうるため、URLが怪しいかどうかはアクセスした先のウェブページ上で確認するようにしておきたい。
↑実はこの赤線部分はウェブサイト側で偽装することが可能になっている
もし間違って押してしまったら?
もし間違って「許可」ボタンを押してしまった時の対処法だが、いたって簡単。Twitterホームから「設定とプライバシー」→「セキュリティとアカウントアクセス」→「連携しているアプリ」にアクセスし、許可ボタンを押した時に表示されたアプリ名を選択。あとは「アプリの許可を取り消す」を押すだけ。
これで対象のアプリからアカウンㇳを操作することは不可能になる。しかし、この一連の乗っ取りの仕組みはアプリ連携にあることから「メールアドレスやパスワードを変更しても意味がない」という点には注意したい。