【NFT】NFT活動をしているTwitterアカウントのセキュリティは強化しようねという話

はじめましてのヒトは、はじめまして。
いつもの皆様、こんにちわ。
大葉さんです。

前回の記事

有名なNFTクリエイターのTwitterが乗っ取られ、偽物コレクションを作成されたり、フレンドへ怪しげDMをバラ撒かれたりされました。本件ですが、ご本人アカウントが乗っ取られたと思わしき原因と、その対策が判明したので、本記事で改めてまとめました。

TwitterはNFT活動の要です、セキュリティ対策はサボらず、キッチリやりましょう！！

まねまね幸福の青い鳥 8202-395

KIUMI シールド 盾 コスプレ 高さ54cm 武器 樹脂製 グッズ アベンチャーズ アベンジャーズ キャプテンアメリカ Iron Man Avengers Captain America コスプレ道具 PS01 (片側)

りぶはあと ボルスター マシュマロアクアミエ イルカ W15xD27xH14cm 48051-61

なぜこの記事を書いたのか？

全人類にTwitterのセキュリティ強化を実施して欲しいからです！

• ２要素認証（2FA）めんどくさくても必ず設定しよう（絶対）

• 脆弱なパスワードは利用してはいけません

• ユーザ名から推測できるパスワードはやめましょう

• 連携しているアプリは定期的に見直そう

• 身に覚えのないセッションは切断しよう

この5つは絶対に守ってください。

気がついていないだけで、あなたのTwitterアカウントは24時間365日いつでもアタックを受けています。「常に攻撃されていることを前提に」対策をお願いします。

以上が伝えたいことです。以降は詳細です。

■2要素認証（2FA）めんどくさくても必ず設定しよう（絶対）

世の中にはブルートフォース攻撃（総当たり攻撃）というものがありまして、どんなに素晴らしいパスワードだったっとしても、時間さえかけてしまえば、いつかは解析されてしまいます。

パスワード解析されるまでの時間をまとめてみた【パスワードクラッキングについて】

この問題に対する対策の1つが2要素認証（2FA）です。

「10文字以上の長いパスワードを設定しているから、2要素認証必要ない」って考えていた方、それ、間違いです。パスワードが数字や小文字だけなら、現在の攻撃ツールでは数分以内に破られますよ！

---

2要素認証アプリ、私のおすすめは「Twilio Authy」です。機種変更等の際にデータ引き継ぎが行えるので、とっても便利。個人利用の場合は無料なので、ぜひ、ご活用を。

公式サイト

Twilio Authy | SMS, Voice, Email, Push Authentication features

わかりやすい使い方

Authyで二要素認証設定を行う方法 | SendGridブログ

appleストア

‎Twilio Authy

Google Play

Twilio Authy Authenticator - Google Play のアプリ

---

<2023年1月22日追記>

2要素認証の方法は複数ありますが、SMS認証（特定の電話番号宛に2つ目のパスワードを送ってくる方式）は米国立標準技術研究所（NIST）の認証に関するガイドラインにて「条件付き」となっているため、他の手法よりセキュリティレベルが低いです。

SMS認証の仕組みと危険性、「TOTP」とは？　「所有物認証」のハナシ

（安全）アプリを用いた2要素認証  ＞ SMS認証での2要素認証　＞＞＞ 2要素認証なし（危険）

設定しないよりはマシですが、どこかのタイミングでアプリによる認証に切り替えることを、強くお勧めします。

■脆弱なパスワードは利用してはいけません

世の中にはパスワードリスト攻撃というのもあります。

パスワードリスト攻撃とは？意味・定義 | ITトレンド用語 | NTTコミュニケーションズ

要するに、脆弱なパスワードの一覧をどこからか入手して、総当たり攻撃を仕掛けるわけですね。では、どこから入手するの？

はい、ここからです。
SecListsは、世の中で頻繁に使われる脆弱なパスワードなどをまとめたリポジトリです。ここに載っている文字列は、基本的にパスワードに使っちゃダメです、アタックに使われる可能性が否定できません。

---

オマケ話として、、、
SecListsの一覧に自分が使っているパスワードを発見し、削除申請した猛者も現れました🐬

「危険なパスワード一覧」から自身のパスワードをこっそり削除したことがバレて逆に世界一有名なパスワードが爆誕

自分からパスワードを教えに行くスタイル、ぜったい真似しちゃダメです🐬🐬🐬

■ユーザ名から推測できるパスワードはやめましょう

力技ですが、実際のところ、よく使われる攻撃パターンなのがこちら。

ユーザ名：testuser0123
パスワード：testuser0123、0123testuser、testuser、0123

こういう感じで登録しているTwitterアカウントは、乗っ取りの格好の餌食です。攻撃者は数百から数千のTwitterアカウントに対してアタックして、1-2アカウント乗っとれれば良いやってノリで行動しています。貴方のアカウントが標的にならないように、ユーザ名から推測できるパスワードはやめましょう。

実際に本手法を使っているクラッカーが実在し、日本人が一番狙われており、困ったことに実害が出ています。代替性かおす(՞ . .՞)੭"さん（ https://twitter.com/401noname ）、情報提供ありがとうございました。

なお、この攻撃手法、2要素認証（2FA）入れていれば回避できますよ！

めんどくさがらずに設定しましょう（2回目）

■連携しているアプリは定期的に見直そう

パスワードアタック以外でのTwitter攻撃手法として、Twitter認証が必要なアプリ（主に占い系やエンタメ系）を承認すると、必要以上の権限を持って行かれて、個人情報が抜かれてしまうパターンがあります。

（１）Twitterアイコンのデコレーションで使っていたこのサイト

（２）アカウントへのアクセス許可画面で、ユーザ名パスワードを入れる前に下にスライド

（３）このアプリがユーザの許可なく実行可能なアクション一覧が載っています。必要なさそうな権限まで、ガッツリ持っていきます宣言してますね

連携しているアプリの一覧は、「設定とプライバシー」→「セキュリティとアカウントアクセス」→「アプリとセッション」→「連携しているアプリ」で確認できます（スマホの場合、画面キャプチャにロックがかかっているので、各自でご確認ください）

連携しているアプリをクリック→アプリの許可を取り消す、をクリックすると連携解除できます。

本操作を行うことによって、アプリ側に保存したデータが消えることはありません。また繋ぎ直せば良いだけです。定期的に全アプリの許可を取り消して、利用アプリを整理していくことをお勧めします。

ワタクシの場合は、半年から1年周期で棚卸しています。

■身に覚えのないセッションは切断しよう

自分が今使っている端末以外の全てのTwitterを強制ログアウトさせる方法です。身に覚えのない場所からのTwitterログオン通知が来た！みたいな時に使えます。便利！

セッションの一覧は、「設定とプライバシー」→「セキュリティとアカウントアクセス」→「アプリとセッション」→「セッション」で確認できます（スマホの場合、画面キャプチャにロックがかかっているので、各自でご確認ください）

モバイルの位置情報、国内住所はかなりブレます。特に低価格帯のMVNOの場合は、親回線側の出口の位置情報を掴んじゃうので、ほぼ当てにならないです。

次に「他のすべてのセッションからログアウト」を、クリックしてみます。

きれいにセッションがクリアされました。

注意点として、複数端末でTwitterを利用している場合は、他の端末も強制ログアウトされます。Android側からは、このようなメッセージが確認できました。

みなさま、防御力をほどよく高めた上で、楽しいTwitterライフを！

---

本日はここまで！
ではでわでは！

---

次のお話