Twitterから「アカウントの乗っ取りにつながる可能性のある不具合を修正しました」というメールが届いた!セキュリティ上の問題 とは
公開日時:
2019/12/21にTwitterから
「Twitterアカウントのセキュリティ上の不具合 – Twitter for Androidを更新してください」
というメールが私のもとにも届きました。Twitter上では「偽物なのかわからない」「アカウントが乗っ取られてしまったのか?」といった、声も上がっているようです。
はたしてメールの送り主は本物なのか、どういう不具合によってアカウントが乗っ取られてしまうのかを、まとめてみたいと思います。
改めてメールの内容「Twitterからのお知らせです。 」
メールの内容は、Twitter for Android というAndroid用のアプリを使っているユーザーに対して送信されたものです。このアプリの脆弱性が悪用されてアカウントが乗っ取られてしまう恐れがあるため、アプリを最新のバージョンへアップデートしてほしいということでしょう。つまりiPhoneを使っていたりWeb版のTwitterを使っている人は関係ありません。
また、メールの送り主を確認してみると、送信元: bounce.twitter.com。メールはTwitter.comによって署名がされているため本物であることは間違いないと考えていいでしょう。
アカウントが乗っ取られるアプリの脆弱性とは
そもそも、アカウントが乗っ取られるとは具体的にどういった不具合が発生するのでしょうか。
Twitterの公式ブログに詳細が記載されていました。
Twitter for Androidにおけるセキュリティ上の問題 – https://privacy.twitter.com/ja/blog
このページによると次のような不具合が発生するようです。
・非公開のアカウント情報を参照
・ツイートやダイレクトメッセージを送信できる
・位置情報を参照できる
どのような脆弱性が存在していたかということも、書かれています。
Twitterアプリの制限されたストレージ領域に悪意のあるコードを埋め込むといった複雑なプロセスにより、悪意のある人物がアプリから情報(ダイレクトメッセージ、非公開ツイート、位置情報)にアクセスすることが可能だった恐れがあります。
Twitter for Androidにおけるセキュリティ上の問題 – https://privacy.twitter.com/ja/blog から引用
つまり、スマートフォンの中にあるTwitterアプリの使用している領域に、誰かが不正なプログラムを仕込むことによって、自由にアプリが操作できるようになってしまうということでしょう。
どうすればよいのか
アプリに脆弱性が見つかった以上、速やかにGoogle Playからアプリのアップデートを行ったほうが良さそうです。しかし、Androidのバージョンによっては最新のアプリにアップデート出来ない場合もあります。その場合はWeb版のTwitterを使うようにアナウンスされています。
https://play.google.com/store/apps/details?id=com.twitter.android&hl=ja