Twitterの「診断」でアカウントを乗っ取られる危険性、注意すべき点は？

　TwitterやFacebookなどのSNS上で人気が高い、性格診断や似ている人診断、仲良し度診断などの診断系コンテンツ。ニックネームを入力したり簡単な質問に答えたりするだけで診断結果が出る単純なものもあれば、直近の投稿の傾向やフォローしているアカウントなどをもとに分析する手の込んだものもある。

画像提供：トレンドマイクロ

　後者の場合はSNSのアカウントからデータを読み込むために「アプリ連携」という操作が必要となるが、この仕組みを悪用し、ユーザーの興味を惹くような診断テーマでおびき寄せ、アカウントを乗っ取るという不正行為が後を絶たない。

　アプリ連携を悪用した「乗っ取り」の被害にあった場合、乗っ取られたアカウントを使ってスパムを投稿されたり、不正にフォロワーを増やすサービスに使われたりと悪用される危険性がある。

　このような事例は数年前から確認されていて新しい手口ではないが、2019年現在でも引き続き同種の攻撃が発生しているとして、トレンドマイクロが再調査し、注意を促している。

同じサイトでも「すべて安全」とは限らない

画像提供：トレンドマイクロ

　今回、トレンドマイクロのリサーチ部門が調査した診断サイトは、主にTwitterで拡散されていたもの。2019年10月、11月に診断をきっかけにアカウントを乗っ取られたという報告があった。調査の結果、サイト内の診断系コンテンツには「問題ないコンテンツ」と「悪質なコンテンツ」が混在している状態だったという。

　同社は「問題ないコンテンツと悪質なコンテンツを混ぜることで、利用者が連携の承諾をしやすくしているようにも思える」とコメント。一度安全なコンテンツだと判断したユーザーは同じサイト内ならば大丈夫だろうと油断しやすく、その隙を狙った手口と分析している。

「悪質なコンテンツ」を見極めるには？

　診断系コンテンツやアプリ連携そのものが必ずしも危険というわけではなく、利用する上では見極めが重要になる。では、先述のような「悪質なコンテンツ」を判断すれば良いのだろうか。

　Twitterのアプリ連携を行う際には、必ず「そのアプリにどのような操作を許可するのか」が一覧で表示される。この中に、診断のための情報を得るには不必要と思われる権限が含まれている場合、スパムの判断材料になるだろう。

　トレンドマイクロの見解では、特にリスクが大きい項目として「他のアカウントをフォロー、フォロー解除する」「このアカウントでプロフィールとアカウントの設定を変更する」「このアカウントでツイートを送信および削除する、他のアカウントのツイートをエンゲージメント（いいね、いいねの取り消し、ツイートへの返信、リツイートなど）する」といった権限を要求された場合は危険としている。

誤って「アプリ連携」をしてしまった場合の解除方法

　危険と思われるサービスを誤って許可してしまった場合、速やかに「アプリ連携」を解除すると良い。

　解除の手順は、Web版・アプリ版のどちらでも同様。「設定とプライバシー」→「アカウント」→「アプリとセッション」の順に進むと、連携済のアプリ・サービスの一覧が表示される。

　一覧の中から解除したいアプリを選び、「アクセス権の取り消し」を押せば解除できる。また、危険性を理由に解除する場合は「アプリケーションを報告」という操作もあわせて行うことで、Twitter社に問題の調査を依頼できる。