見出し画像

Twitterアカウント乗っ取りでDMを勝手に送信してフォロワーをBest Stalkとかいうアプリに誘導しちゃう現象の詳細と対処法まとめ

最近、ツイッターで相互してる人からこういうDMがよく来ます。stand.fm関係の人が多い

僕がはじめてこのDMを見かけたのは2022年12月20日あたりなんだけど、どうもスタエフユーザーの間で根強く蔓延してるみたいですねー

このnoteで現象の詳細と、対処方法をまとめます!

【2023/03/21追記】ツイッターのほうに一枚絵にまとめたのを投稿しました。相互さんから感染してそうなDMを受け取ったときは、次のツイートをシェアしてあげてくださいー


Twitterアカウントが乗っ取られるまでの流れ

乗っ取りって言うと語弊があって、正確にはサードパーティアプリにDM送信権限を与えて連携して、サードパーティアプリがその承認のもとDMを送ってるだけなんですけど、まぁどうみてもちゃんとしたアプリじゃないのでよいでしょ

まず最初に、相互フォローしてる人からこーゆー謎のインスタのドメインのURL付きのDMが送られてきます

URLをタップすると、Best StalkっていうTwitterのサードパーティアプリのウェブサイトに飛びます。誰があなたのプロフィールを閲覧したかわかるアプリっていうことで、Twitterに足跡機能を追加するみたいな感じですが、プログラマの僕から見ても原理がよくわからん

で、上の LOG IN WITH TWITTER ボタンを押すと、サードパーティ連携アプリの画面になります

サードパーティアプリの表示名はYenidenらしい。ここでログインボタンを押しちゃうと、このYenidenさんが僕のTwitterアカウントにアクセスする権限を与えちゃうんですけど、ここから先やってないから、やるとどうなるか未調査

予想ですけど、このアプリを承認すると、僕の相互フォロワーに冒頭のDMを送りつけまくるんだろうなーと思います。挙動としてはウィルスと同じ。これがスタエフユーザーのTwitterクラスタで蔓延しておるという状況っぽい!

対処方法

自分のアカウントがDMを送りつけちゃってたときの対処方法ですけどiPhoneのTwitterアプリだと

  • 左上の自分のアイコンをタップ

  • → 設定とサポート

  • → 設定とプライバシー

  • → セキュリティとアカウントアクセス

  • → アプリとセッション

  • → 連携しているアプリ

と進んだ先にYenidenさんがあると思うので、Yenidenさんに対して「アプリの許可を取り消す」という操作をすれば、それ以降は大丈夫なはずです

ツイッターアカウントのパスワード変更とかは必要ないです(サードパーティーアプリはパスワードは抜けないから)

【2023年3月20日追記】サードパーティーアプリ名がYenidenから変わってる可能性があります。見覚えのないサードパーティーアプリのうち「DM送信権限」がついているものが怪しいので、Yenidenがない場合はそれを探して連携解除すればよいです。やばいサードパーティの見分け方について別のnoteに書いたのでよかったら読んでください

リンクを踏んだだけでは実害はなさそう

instagram.comドメインのURLをタップして、謎のサイトに飛ばされるのおかしくない!?っていうのはあって、ここについて詳細調査。これリンクがインスタだから油断してタップするんですよねー

これリダイレクトを何回か行って、インスタともfacebookとも無関係なサイトに飛ばす手法っぽいです。Meta社なんとかして

URL全文をここに載せると、なんか良くない情報が含まれてる可能性あるので、どのドメインになんの情報が渡ってるのかだけ書きます。ちなみに curl コマンドに -i オプションを付けて手動でリダイレクトを辿って調査しました

  • l.instagram.com

    • URLパラメータが4個ほど渡る

    • ドメイン自体はinstagramのもの(=ちゃんとした企業)なので、アクセスしても大丈夫そう

    • HTTP 200 で、javascript でリダイレクト↓

  • business.instagram.com

    • URLパラメータが3個ほど渡る

    • ドメイン自体はinstagramのもの(=ちゃんとした企業)なので、アクセスしても大丈夫そう

    • HTTP 302 でリダイレクト↓

  • www.facebook.com

    • URLパラメータが3個ほど渡る

    • ドメイン自体はfacebookのもの(=ちゃんとした企業)なので、アクセスしても大丈夫そう

    • HTTP 302 でリダイレクト↓

  • bit.ly(短縮URL、詳細伏せ)

    • URLパラメータ無し

    • HTTP 301 でリダイレクト↓

  • www.muc****.com/****(詳細伏せ)

    • URLパラメータ無し

    • HTTP 302 でリダイレクト↓

  • mor****.com/****(詳細伏せ)

    • URLパラメータ無し

    • ここが終着地点の Best Stalk の紹介サイト

リダイレクトの流れとしては

インスタ → インスタ → facebook → bitly → 外部サイト → 外部サイト

って感じで、途中のどこかで外部サイトにヤバイ情報抜かれてるんじゃない?って微妙に不安になったりもするんですけど、bitlyから先はURLパラメータ無しで、なんらかの情報が抜かれてる形跡も見当たらないので、リンクを踏んだだけでは何も害が無いと思われる(たぶんね)

2024-08-06 追記

2024年6月ごろに来ていた best stalk リンクの挙動を確認したところ、リダイレクト経路や、 best stalk のサイトの更新を確認できました。

2024年6月ごろの遷移先ページ
ツイッター連携ボタンを押すとフィッシング的な入力フォームが出る
  • リダイレクト: インスタ → インスタ → facebook → 外部サイト

    • インスタとfacebookにログインしている状態のchromeで確認したところ、リダイレクトの途中で外部サイトに良くないデータがGETパラメータとして渡っている箇所は無さそう。おそらくリンクを踏んだだけならセーフ

  • twitter の id, screen_name, プロフィール画像URL がハッシュパラメータとして外部サイトに渡り、 best stalk のWebページ上に表示されるので「あたかもすでにログインしてる感」が出てる

    • DMで送られてくる最初のリンクにURLの一部として埋め込まれているデータが、リダイレクトにハッシュパラメータとして残っているだけ

    • twitter の id, screen_name, プロフィール画像URL は公開情報なので、なにか情報を抜かれているとかではない

  • Best Stalk のウェブサイト上で "Sign in with Twitter" ボタンを押したところ、id / password を入力する手作りの入力フォームが表示された。id 欄には twitter の screen_name がすでに入力済み。ここで password を入力してしまうと第三者にパスワードが記録されると思われます(いわゆるフィッシング)

    • → もしパスワードを入力してしまったのなら、twitterのパスワードの変更が必要。さらにもし同じパスワードを使いまわしているなら他サービスのパスワードも変更したほうがいい。

アプリ連携すると、ツイッターのDMの内容とかは抜かれてる可能性あり

これがYenidenの要求してくるリクエスト権限なんですけど、まぁ見てみるとけっこう強い権限をリクエストなさってます

Yenidenを連携すると、DMの内容とかもYenidenのプログラマが覗ける状態にはなってるので、もし彼に悪意があったら、DMの内容がどっかの外部サイトに保存されてたりするかもしれないですね。まぁあんまり善人には見えないけどね

データを抜かれた事後に対処するのは不可能なので、これについては、アプリ連携しちゃった人はどんまいとしか言えない

Twitterのサードパーティーアプリの権限って、その開発元が必要に応じて設定するものなので、なんのために使うのかわからない強い権限を要求してくるサードパーティーアプリは許可しないのが吉であります

関連記事

この記事が気に入ったらサポートをしてみませんか?