パスワードを忘れた? アカウント作成
13771231 story
Twitter

Twitter曰く、著名アカウントを通じたビットコイン詐欺ツイートの原因はサードパーティーアプリ 17

ストーリー by headless
入口 部門より
著名Twitterアカウントを通じた詐欺ツイート投稿が続発している問題について、TwitterはThe Next WebのHard Forkに対し、サードパーティーソフトウェアプロバイダーが原因だと伝えたそうだ(The Next Webの記事)。

詐欺ツイートの内容としてはビットコインを送金するとその10倍のビットコインをプレゼントするといったものだ。最近では米小売大手TargetGoogle G Suiteなどのアカウントから詐欺ツイートが投稿されたことが報じられている。当初、Targetでは同社のアカウントが不正アクセスを受けたとの見解を示していた。しかし、Twitterと協力して調査した結果、投稿を代行するサードパーティーのマーケティングアプリが不正アクセスを受けたとの結論に達したとHard Forkに伝えたという。

TwitterはTargetだけでなく一連の詐欺投稿がサードパーティーアプリを通じたものだと認める一方、具体的なアプリの名称については回答しなかったとのこと。

詐欺ツイートは春頃から問題になっており、当初は確認済みアカウントの名前を変更した偽アカウントからの投稿が報じられていた。Twitterでは名前を変更すると確認済みのバッジが取り消されると説明しているが、実際には取り消されないようだ。Twitter CEOのジャック・ドーシー氏が修正を約束したものの、偽アカウントの出現は後を絶たない。

また、最近日本では講談社コミックDAYS朝日新聞新潟総局のアカウントの被害が報じられた。朝日新聞の方は返信の形で上述の詐欺ツイートを宣伝するもので、米国やイスラエルの政治家のアカウントが同様の被害にあっている。偽アカウントから投稿されたり、返信の形で投稿されたりする詐欺ツイートも同様の手口によるものかどうかは明確になっていない。
  • Twitter連携アプリの権限とやむを得ない事情について理解しておこう [fkoji.com]
    権限の種類が大雑把すぎてオールオアナッシングになるせいで、利用者が何でもかんでも許可するよう麻痺してしまっているなんてことが背景にあったりしないかな?

    マーケティングアプリとやらがどんなものかがわからんからなんとも言えないけど、そもそもこの辺の設計がまずいせいでつけ込まれているという可能性を疑ってしまうのだけど……。

    ここに返信
  • こういうことが起きると、余計に、切り捨てたくはなるのかな。

    ここに返信
    • by Anonymous Coward

      いらない社員もシステムもすぐに止めればいい。それすら出来ないやつしか企業の広報担当にはいないってことでしょ

      • by Anonymous Coward

        広報担当にそんな権限ある企業おしえてほしいわ

        • by Anonymous Coward

          ツイッター社の担当が勝手にアカウント止めた事件とかなかったっけ?

          • by Anonymous Coward

            >Twitterでは名前を変更すると確認済みのバッジが取り消されると説明しているが、実際には取り消されないようだ。
            これも広報が勝手に説明しちゃった?

  • 「お金を差し上げますので先ずはこちらにお金を振り込んでください。」
    よくある詐欺と同じに見えてしまうけど未だに有効なんだ。

    詐欺ツイートの内容としてはビットコインを送金するとその10倍のビットコインをプレゼントするといったものだ。

    「海外の高額宝くじに当選しました」ってのも未だにあるのかな
    手紙、電話、メール、Twitterとコミニュケーションツールをを変えながら生き残り続けていくのが興味深い。

    ここに返信
    • by Anonymous Coward

      ベンツが当たったってのはあるね。

  • by Anonymous Coward on 2018年11月18日 23時10分 (#3517724)

    マーケティングアプリとかなら仕方ないと思うな。
    どこまで怪しいアプリだったかは知らないけど。
    担当者が個人的なゲームなりアプリなりで認証しちゃったとかなら話にならんけど。

    ここに返信
    • by Anonymous Coward on 2018年11月18日 23時42分 (#3517728)

      だとしても、そのアプリの名前を公開しないってのはイマイチだと思う。
      つーか個人レベルで作ったアプリは平気で(ほとんど誤爆や難癖の類で)潰すくせに、こういう部分だけ慎重になったって仕方ねーだろと思うんだけど。

      • by Anonymous Coward

        アプリといったって、ストアアプリじゃないと思うよ。
        OAuthを使って認証する、B2B用に開発されたマーケティングシステムでしょ。
        その会社に大きな過失がないのなら、今後の関係を慮って企業名を公開しないのはあり得る。

        • by Anonymous Coward

          OAuthを使って認証する、B2B用に開発されたマーケティングシステムでしょ。

          そんなもんが今日日、二段階認証を必須としてなかったなら、十分に過失じゃね?

          • by Anonymous Coward

            二段認証入れることでサードパーティのソフトウェアによる不正アクセスが防げるとは思いませんがネタでしたか。

    • by Anonymous Coward

      権限渡してる相手がクラックされる、というのは今後増えそうだなぁ。

      もしIFTTTがやられたら世界中で問題起きそうだ。
      スマート家電を連携してる人多いだろうし、勝手に操作されたり。

  • by Anonymous Coward on 2018年11月19日 13時26分 (#3517852)

    アプリの生殺与奪権はTwitter社のコントロール下にあるんだから
    悪質な連携アプリは強制排除するなりの対応すれば済む話なのに、
    なんで野放しなんだろうね?

    linkisとかマルウェアそのものなのにいつまで放置してるんだよと。

    ここに返信
    • by Anonymous Coward

      LinkIs調べたがこれヤバいな。
      Twitter頭おかしいだろ。

      • by Anonymous Coward

        単純にLinkIsのユーザーはツイート回数が2倍にカウントできるので、アクティブユーザー数を売り物にしたいTwitterには都合が良いんですよ。

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...