報告によると、3,200 以上のアプリが Twitter API を公開しており、アカウントの完全乗っ取りの可能性があるとのことです。

サイバーセキュリティ研究者らは、Twitter APIキーを公開しているモバイルアプリ3,207件を発見しました。これにより、脅威アクターは、これらのアプリに関連する可能性のあるユーザーのTwitterアカウントを乗っ取る可能性があります。

BleepingComputerによると、この発見はサイバーセキュリティ企業CloudSEKによるものだ。同社はモバイルアプリ向けセキュリティ検索エンジン「BeVigil」を導入した後、大規模なアプリセットのデータ漏洩を精査し、Twitter APIの有効なコンシューマーキーとコンシューマーシークレットを漏洩しているアプリを3,207件発見した。

3,207 個のアプリのうち 230 個は、Twitter アカウントを完全に乗っ取るために必要な 4 つの認証情報を漏洩していました。

サイバーセキュリティ会社、開発者によるTwitter APIキーの漏洩を発見

基本的に、開発者がモバイルアプリをTwitterに統合すると、認証キー（トークン）が付与され、モバイルアプリはTwitter APIと連携できるようになります。ユーザーが自分のTwitterアカウントをモバイルアプリにリンクすると、このキーによってアプリがユーザーに代わって操作できるようになります。つまり、アプリはユーザーをTwitterにログインさせたり、ツイートを作成したり、DMを送信したりといった操作が可能になります。

認証キーを使用すると、誰でもTwitterユーザーとして操作を実行できるため、キーをモバイルアプリ内に直接保存することは絶対に避けるべきです。CloudSEKによると、APIキーの漏洩は、通常、アプリ開発者のミスが原因です。開発者がTwitter APIから認証キーを削除し忘れると、アプリが侵害され、脅威にさらされることになります。

CloudSEKのレポートによると、最も顕著な悪用事例は、脅威アクターが公開トークンを利用し、多数のフォロワーを持つ信頼できるTwitterアカウントを大量に作成することです。これらのアカウントは、フェイクニュース、マルウェアキャンペーン、暗号通貨詐欺などを宣伝する可能性があります。

ボット戦争の開始

したがって、個々のユーザーのアカウントはおそらく問題ないが、本当に懸念されるのは、有名アカウントが暗号通貨や陰謀論を売り始める可能性があることだ。

CloudSEKのレポートでは、

私たちが構築しようとしているTwitterボット軍団は、皆さんに代わってどんな戦いにも立ち向かうことができます。しかし、おそらく最も危険なのは、ボットによって動かされるインターネット上の偽情報戦争です。インターネットの創始者であるタイム誌のバーナーズ＝リーは、ほとんどの人が少数のソーシャルメディアサイトや検索エンジンからニュースを入手し、リンクをクリックすることで収益を得ているため、偽情報が拡散するのは非常に簡単だと述べています。これらのサイトのアルゴリズムは、人々が関与しそうなものに基づいてコンテンツを優先することが多く、つまりフェイクニュースが「野火のように広がる」可能性があるのです。

さらに、CloudSEKは、認証キーを保護するために、開発者にAPIキーのローテーションを実装することを推奨しています。また、開発者に対し、バージョン管理の正確性を確保し、キーを隠蔽または偽装することを推奨しています。

事態を複雑にしているのは、CloudSEKがBleepingComputerと影響を受けるアプリケーションのリストを共有していたことです。しかし、BleepingComputerもCloudSEKもリストを公開していません。現在も、多くのアプリが依然として脆弱性を突かれた攻撃やアカウント乗っ取りの被害に遭っています。

残念ながら、現在APIキーを公開しているアプリケーションのほとんどは、CloudSEKからの通知をまだ受け取っていません。同社は1ヶ月以上前に通知していたにもかかわらずです。唯一の例外はフォード・モーターズで、Twitter APIキーの漏洩が発覚した後、「Ford Events」アプリを修正しました。

さらに先月、ハッカーが540万人のユーザーを収容しているとされるデータベースを販売していました。この侵害は、1月に脆弱性が発見された後に発生しました。Twitterはその後、この脆弱性を修正しました。

CloudSEK の完全なレポートは、こちらからお読みいただけます。