【NFT】NFT活動をしているTwitterアカウントのセキュリティは強化しようねという話
はじめましてのヒトは、はじめまして。
いつもの皆様、こんにちわ。
大葉さんです。
前回の記事
有名なNFTクリエイターのTwitterが乗っ取られ、偽物コレクションを作成されたり、フレンドへ怪しげDMをバラ撒かれたりされました。本件ですが、ご本人アカウントが乗っ取られたと思わしき原因と、その対策が判明したので、本記事で改めてまとめました。
TwitterはNFT活動の要です、セキュリティ対策はサボらず、キッチリやりましょう!!
なぜこの記事を書いたのか?
全人類にTwitterのセキュリティ強化を実施して欲しいからです!
2要素認証(2FA)めんどくさくても必ず設定しよう(絶対)
脆弱なパスワードは利用してはいけません
ユーザ名から推測できるパスワードはやめましょう
連携しているアプリは定期的に見直そう
身に覚えのないセッションは切断しよう
この5つは絶対に守ってください。
気がついていないだけで、あなたのTwitterアカウントは24時間365日いつでもアタックを受けています。「常に攻撃されていることを前提に」対策をお願いします。
以上が伝えたいことです。以降は詳細です。
■2要素認証(2FA)めんどくさくても必ず設定しよう(絶対)
世の中にはブルートフォース攻撃(総当たり攻撃)というものがありまして、どんなに素晴らしいパスワードだったっとしても、時間さえかけてしまえば、いつかは解析されてしまいます。
この問題に対する対策の1つが2要素認証(2FA)です。
「10文字以上の長いパスワードを設定しているから、2要素認証必要ない」って考えていた方、それ、間違いです。パスワードが数字や小文字だけなら、現在の攻撃ツールでは数分以内に破られますよ!
2要素認証アプリ、私のおすすめは「Twilio Authy」です。機種変更等の際にデータ引き継ぎが行えるので、とっても便利。個人利用の場合は無料なので、ぜひ、ご活用を。
公式サイト
わかりやすい使い方
appleストア
Google Play
<2023年1月22日追記>
2要素認証の方法は複数ありますが、SMS認証(特定の電話番号宛に2つ目のパスワードを送ってくる方式)は米国立標準技術研究所(NIST)の認証に関するガイドラインにて「条件付き」となっているため、他の手法よりセキュリティレベルが低いです。
(安全)アプリを用いた2要素認証 > SMS認証での2要素認証 >>> 2要素認証なし(危険)
設定しないよりはマシですが、どこかのタイミングでアプリによる認証に切り替えることを、強くお勧めします。
■脆弱なパスワードは利用してはいけません
世の中にはパスワードリスト攻撃というのもあります。
要するに、脆弱なパスワードの一覧をどこからか入手して、総当たり攻撃を仕掛けるわけですね。では、どこから入手するの?
はい、ここからです。
SecListsは、世の中で頻繁に使われる脆弱なパスワードなどをまとめたリポジトリです。ここに載っている文字列は、基本的にパスワードに使っちゃダメです、アタックに使われる可能性が否定できません。
オマケ話として、、、
SecListsの一覧に自分が使っているパスワードを発見し、削除申請した猛者も現れました🐬
自分からパスワードを教えに行くスタイル、ぜったい真似しちゃダメです🐬🐬🐬
■ユーザ名から推測できるパスワードはやめましょう
力技ですが、実際のところ、よく使われる攻撃パターンなのがこちら。
ユーザ名:testuser0123
パスワード:testuser0123、0123testuser、testuser、0123
こういう感じで登録しているTwitterアカウントは、乗っ取りの格好の餌食です。攻撃者は数百から数千のTwitterアカウントに対してアタックして、1-2アカウント乗っとれれば良いやってノリで行動しています。貴方のアカウントが標的にならないように、ユーザ名から推測できるパスワードはやめましょう。
実際に本手法を使っているクラッカーが実在し、日本人が一番狙われており、困ったことに実害が出ています。代替性かおす(՞ . .՞)੭"さん( https://twitter.com/401noname )、情報提供ありがとうございました。
なお、この攻撃手法、2要素認証(2FA)入れていれば回避できますよ!
めんどくさがらずに設定しましょう(2回目)
■連携しているアプリは定期的に見直そう
パスワードアタック以外でのTwitter攻撃手法として、Twitter認証が必要なアプリ(主に占い系やエンタメ系)を承認すると、必要以上の権限を持って行かれて、個人情報が抜かれてしまうパターンがあります。
(1)Twitterアイコンのデコレーションで使っていたこのサイト
(2)アカウントへのアクセス許可画面で、ユーザ名パスワードを入れる前に下にスライド
(3)このアプリがユーザの許可なく実行可能なアクション一覧が載っています。必要なさそうな権限まで、ガッツリ持っていきます宣言してますね
連携しているアプリの一覧は、「設定とプライバシー」→「セキュリティとアカウントアクセス」→「アプリとセッション」→「連携しているアプリ」で確認できます(スマホの場合、画面キャプチャにロックがかかっているので、各自でご確認ください)
連携しているアプリをクリック→アプリの許可を取り消す、をクリックすると連携解除できます。
本操作を行うことによって、アプリ側に保存したデータが消えることはありません。また繋ぎ直せば良いだけです。定期的に全アプリの許可を取り消して、利用アプリを整理していくことをお勧めします。
ワタクシの場合は、半年から1年周期で棚卸しています。
■身に覚えのないセッションは切断しよう
自分が今使っている端末以外の全てのTwitterを強制ログアウトさせる方法です。身に覚えのない場所からのTwitterログオン通知が来た!みたいな時に使えます。便利!
セッションの一覧は、「設定とプライバシー」→「セキュリティとアカウントアクセス」→「アプリとセッション」→「セッション」で確認できます(スマホの場合、画面キャプチャにロックがかかっているので、各自でご確認ください)
モバイルの位置情報、国内住所はかなりブレます。特に低価格帯のMVNOの場合は、親回線側の出口の位置情報を掴んじゃうので、ほぼ当てにならないです。
次に「他のすべてのセッションからログアウト」を、クリックしてみます。
きれいにセッションがクリアされました。
注意点として、複数端末でTwitterを利用している場合は、他の端末も強制ログアウトされます。Android側からは、このようなメッセージが確認できました。
みなさま、防御力をほどよく高めた上で、楽しいTwitterライフを!
本日はここまで!
ではでわでは!
次のお話
この記事が気に入ったらサポートをしてみませんか?