twitter ツイッター検索 #カラコロ
https://archive.today/a1sL3
先に断わっておくが、この殺害予告は本人によるものではなく、アカウントの乗っ取りにより行われているものである。アカウントの所有者に非は一切無い。殺害予告は秒単位で何千何万単位で行われている。時間が経てば収まるだろうが、とりあえずリアルタイムのURLも参考までに記載しておく。
唐澤貴洋の検索結果
https://twitter.com/search?f=realtime&q=%E5%94%90%E6%BE%A4%E8%B2%B4%E6%B4%8B
投稿者に対しての共通点は一切無いが、皆が同一の文章を投稿している点からも、第三者によるアカウントの乗っ取りが濃厚だろう。ただし、アカウントの乗っ取りと言っても本人がログインできないような状況に陥るわけではなく、あくまで「ツイート権限」を取得されているだけである。
何故、このような大規模乗っ取りが可能かというと、Twitterの連携機能を利用しているからである。Twitterは外部アプリを連携し、アプリ経由でツイートをしたり情報を取得できる機能がある。この連携機能は、アプリ側にツイッターの利用権限の一部を譲渡することで実現しているのだが、それを悪用しているのである。例えばツイッターにおける「bot」と呼ばれる、定時毎に自動でツイートをするアカウントは、アプリとツイッターアカウントを連携させ、そのアカウントの「つぶやく権限」をアプリに譲渡していることで動作している。今回の騒動はこの「つぶやく権限」を譲渡されたアプリをハッキングしたことで、意図しない殺害予告が一斉に行われているのだ。
ではその連携アプリをハッキングした犯人は、恐らく以前大手アフィブログをハッキングした人物である。ツイッターでリアルタイムで乗っ取り宣言等を行っている。
0Chiaki - @ZeroChiaki
https://archive.today/Nypfw
とりあえず3.6万人に追加カラコロ始めたナリ
https://archive.today/uUYQF
10万カラコロ追加行くナリよ~
この人数は、こいつが乗っ取ったアプリが連携しているアカウント数だろう。ツイッターのアカウントを乗っ取るのではなく、連携しているアプリのアカウントを乗っ取ることで、何万人以上ものツイート権限を入手している。または始めからツイート権限取得目的で自らアプリを配信していた可能性もある。どちらにしろ、不用意にツイッターのアプリ連携をしてしまったユーザが、殺害予告の踏み台にされてしまっているわけだ。
この事態に、ツイッター公式アカウントも、心当たりのないツイートに対して連携アプリの確認を呼びかけた。
Twitterサポート認証済みアカウント - @TwitterHelpJP
https://twitter.com/TwitterHelpJP/status/562806148794155010
ご利用のアカウントから心当たりのないツイートが投稿されている場合、アカウントが乗っ取られている可能性があります。パソコンから以下のリンクにアクセスし、心当たりのないアプリがある場合は連携を解除してください。
ツイッターの「連携アプリ」方式は以前から問題になっている。というのも、権限の指定は3つしかなく、ざっくりと分けると「読込専用」「読み書き」「ダイレクトメールを含めた操作」のみなのだ。つまりアプリを通してツイートをしたい場合「読み書き」権限を与えてしまうと、フォロー操作やプロフィール更新といった操作までできてしまう。さらに、連携アプリの解除もわざわざ設定画面から漁っていかなくてはならず、非常に不便な仕様である。この問題は以前から各所で指摘されている問題であるにも関わらず、ツイッター側は現在の仕様を崩そうとはしない。手を抜いているわけである。
Twitterのアプリケーション認証の権限はどんぶり仕様過ぎる - Do Not Track Me
http://donottrackme.tumblr.com/post/68982807026/twitter
Twitterを使用していると、Twitterと連携させて使う便利な連携アプリケーションが多数あるが、この連携機能を使うたびにTwitter側のどんぶり仕様ゆえに、意図しない権限を連携Webサービス側に渡してしまうのではないかと考えることがある。
これを知覚したのは、『Twitter歴診断というTwitter連携サービスが「危険」だと騒がれている「その理由」について納得出来ないという話。 » Otapps』だ。これの主張を端的にいうならば「Twitterの仕様通りに使っているのだからWebサービス側に文句を言うな。」でしかなく、かの株式会社ミログの姿勢そのままで、ユーザーのことを顧みていない。
今回殺害予告と言うことでその点がクローズアップされたが、このような無自覚にアカウントのツイート権限を利用されてしまう事件は当たり前に発生している。怪しいアプリを連携することで、自動的に広告ツイートを呟いてしまう事態だ。今回はその広告ツイートが殺害予告になっただけで、今回の事件が特別な事態であるわけではない。当然このようなスパムを行う馬鹿が一番悪いのだが、いつまでも予防策を貼らないツイッター側にもいい加減責任があると言っても良い。