Twitterに登録したメアドが未確認の状態でもユーザー検索でヒットするので、なりすましが可能なことがある

Twitterのサポートに問い合わせたら、不具合ではなくそういう仕様だっていう回答をもらったので、ここに書く。

他人のメールアドレスでアカウント作成

Twitterはアカウント作成時にメールアドレスを入れるけど、ここ、どんなアドレスを入れてもアカウントが作れてしまう。

そのメールアドレス宛てに確認のメールが行くけど、そのメール内の確認URLをクリックしなくてもそのアカウントは有効で、そのまま使えてしまう。

未確認のメールアドレスでもユーザー検索でヒットする

メールアドレスが未確認の状態でもアカウントが使えるだけなら、まあそんなに問題は無いのかも知れない。

ただ、Twitterには、メールアドレスでユーザーを検索する機能がある。知人のメールアドレスをTwitterに渡すと、その人のTwitterアカウントを教えてくれる機能。

この機能が、どうやらメールアドレスが未確認のユーザーも見つけてしまう。

つまり、そのユーザーのメアドかどうかはまだ確認できてないのに、検索できてしまう。

なりすましが可能なケース

なりすましをする人(攻撃者)をマロリー、なりすまされる人(企業や有名人も含む)をアリス、なりすましに騙される人をボブとするね。

  1. マロリーが、アリスのメアドを使って勝手にTwitterアカウントを作る(まだアリスはそのメアドでTwitterアカウントを作ってないのが条件)。
  2. アリスにTwitterから確認のメールが行く(何かの理由でアリスはそのメールに気づかないか無視するのが条件)。
  3. マロリーはこのアカウントでアリスのふりをしてツイートしたりする。
  4. ボブがアリスのメアドでユーザー検索すると、このなりすましアカウントが見つかる。
  5. ボブはこれがアリスのアカウントだと思ってしまう。

こんな感じ。いくつか条件があるけど、それが成立すればこういうことが起きてしまう。

なりすまされないために

自分がアリスになってしまわないためにはどうすればいいか。上で、「何かの理由でアリスはそのメールに気づかないか無視するのが条件」と書いたけど、防ぐにはここしかないと思う。

自分の経験上、普通はこういうメアド確認のメールって「このメールに心当たりがない人は無視してください」って書いてあると思う。しかしTwitterはそうじゃない。

このメッセージを誤送信で受け取り、Twitterアカウントに登録していない場合、私のアカウントではない をクリックしてください。

とある(色が薄く小さい文字で。。。)。つまり、無視じゃダメ。「私のアカウントではない」の部分がリンクになってるんだけど、ここを押さないとダメ。そうじゃないと、少なくとも自分のメアドでユーザー検索したときに他人のなりすましアカウントがヒットしてしまう状況になる。

つまり、身に覚えのないメアド確認のメールがTwitterから来たら、「私のアカウントではない」をクリックしましょうね、ということ。

また、Twitterがこうしたことをやってると、他社もマネするかも知れない。だからTwitterに限らず、身に覚えのないメアド確認のメールがどこかから来たら、読まずに無視するのではなく、ちゃんと小さい文字まで全部読んで、これは無視して良いのか、何かアクションを取る必要があるのか、よく確認しましょうね、ということ。

めんどくさ!

しかも、そうなってくるとこれ、Webビーコン的な問題がまた起こってくるんじゃないのか。

単純に考えて、見知らぬWebサービスから「あなたのメアドでアカウントを登録しました。身に覚えがないなら『私のアカウントではない』をクリックしてください」っていうメールが来たとして、あなた、それクリックします?しないよね。でも、しないとなりすまされる危険があるんですよ。

なりすましに騙されないために

自分がボブになってしまわないためにはどうすればいいか。

メアドによるユーザー検索で知人や企業や有名人などのアカウントが見つかっても、信用するな。

問い合わせた

冒頭にも書いたけど、この仕様はこれでいいのかなーと思ってTwitterに問い合わせた。

そしたら、「未確認のメアドでユーザーが検索されてしまう件は不具合ではなく仕様で、もしなりすましがあれば、サポートの方で対処する」といった感じの返事が来た。

うーん。。。

未確認のメアドは検索対象にしなきゃいいじゃんね

メアドが未確認のユーザーは検索対象にしなきゃいいだけなんじゃないのかな。そっちの方が自然だと思うけどなあ。仮になりすましの問題とかが一切無いとしても、未確認のメアドなのに検索できるっていうだけで、ちょっと感覚としておかしいよね。

「メールアドレスの確認」っていう仕組みがあるってことは、他人のメアドで登録されることがあるってのを前提として受け入れて、その上でそれを防ぎたいっていうのを自覚してるわけでしょ。なのにメールアドレスによるユーザー検索ではその前提がどっか行っちゃってる。

お気を付けください

これは仕様だといわれてしまったので、各自が気をつけるしかない。へんなの。