Twitterのハンドル名を巡る闇市場の実態
Pocket

ナオキ・ヒロシマは先週、インターネットでのハッキング攻撃という悪夢に襲われた。被害を免れるためにはハッカーの要求に従う以外に方法がなかった。

あるハッカーが、ヒロシマのGoDaddyとPayPalのアカウント情報とパスワードの入手に成功した。ハッカーはその後取得したアカウント情報を変更し、それを盾に脅迫してきたのだ。ハッカーがアカウント情報と交換に要求してきたものはただ一つ、ヒロシマが所有するTwitterアカウントだった。

ヒロシマがアカウントに使用していたハンドル名はアルファベット1文字の「@N」。これは非常に貴重なハンドル名の一つだ。多くのTwitterユーザーが、自分のイニシャルを表す1〜数文字のTwitterアカウントを欲しがっている。そしてこのハッカーはTwitterのアカウント欲しさに、ヒロシマのビジネス情報やファイナンス情報に紐づいた別サービスのアカウントをハックするという行動まで起こしたのである。

ハッカーはヒロシマに宛てたメールで、自身が行ったハッキングの手法について説明している。

– 私はまずPaypalに電話し、非常に単純かつ巧妙なやり方であなたのカードの下4桁を聞き出した(Paypalに連絡し、電話越しではカードの詳細情報を開示しないよう担当者に伝えてこうした事故の再発を防いだ方がいい)。

– 次に私はGodaddyに電話して、カードを無くしてしまったのだが、カード番号の下4桁は覚えていると伝えた。すると担当者は、私にある範囲の数字から番号を言い当ててみるように促してくれたのだ。(あなたのアカウントの場合は00-09の範囲だった。)
Godaddyアカウントのセキュリティを高めるにはどうすればいいか私には分からないが、もう少しセキュリティの高いものとしてお薦めできるのは、 NameCheap か eNom(ネットワークソリューションではなくenom.comのほう)だろう。

PayPalはヒロシマのアカウントが被害を受けたことを否定しており、ハッカーに対していかなる個人情報も開示していないと主張している。一方、GoDaddyは騙されたことを認めている。

GoDaddyのCEOブレイク・アーヴィングはReadWriteの取材に対し、同社が「ソーシャル・エンジニアリング」の手法にひっかかってしまったことを認めている。今回の場合、ハッカーはアカウントの持ち主を装うことで巧みにGoDaddyを誘導し、個人情報を暴露させたようである。

私はこのハッカーに連絡をとってみた。彼は当初のメールでは我々のインタビューに喜んで応じるとの回答をくれたのだが、残念なことにその後電子メール・アカウントを削除してしまい、連絡が途絶えてしまった。もし再び彼と連絡が取れたらこの記事を更新するつもりだ。

Twitterのハンドル名は貴重な資産

ヒロシマの体験を読んだ後、複数のTwitterユーザから同様のハッキング行為を受けたという報告が寄せられている。

ファイル共有サービスDroplrの創設者でTwitterアカウント「@jb」の所有者、ジョッシュ・ブライアントもこのようなアカウント強奪ハッキングの被害者の一人だ。彼の場合も、ハッカーが単に彼のハンドル名を欲しがったというだけの理由でAmazon Web Servicesアカウントを乗っ取られ、仕事のデータ全てが危険に晒された。

Twitterアカウントを乗っ取る際にハッカーが用いる手段の一つは、ユーザーアカウント上の「パスワードを忘れた」リンクである。この場合ユーザーにはパスワードリセットを知らせるメールが届くので、誰かが自分のアカウントにアクセスを試みていることが分かる。

サンフランシスコに拠点を置くIncredible LabsのCEOで、Twitterハンドル「@k」を所有しているケビン・チャンは以前、頻繁にパスワードリセットを通知するメールを受けていた。しかしTwitterがセキュリティを強化し、パスワードリセット時に個人情報を求めるようになってからは、こういった試みもほとんどなくなったという。

Twitterは昨年の5月、Twitterプロファイルへのアクセスを試みるハッカーへの対策として、2ファクタ認証を導入している。新たなデバイスからTwitterにログインしようとした場合には、事前に登録しておいた電話番号にテキストメッセージが送られるよう設定することができるというもので、ユーザーは自分のTwitterアカウントを保護することができる。

ハンドルネームのお値段は?

ヒロシマのTwitterアカウント強奪の体験談を読んで一番驚いたのは、彼が以前このハンドル名を5万ドルで買いたいというオファーを受けていたことだった。しかも彼はそれを断っているのだ。

実はTwitterのハンドル名に数千ドルが提示されることは珍しくない。New York Postは以前、銀行業務と金融サービスの会社JPMorgan Chaseが、「@Chase」というハンドル名の所持者(Chase Giuntaという人物だった)からそのアカウントを2万ドルで買い取ったと報じている。

ユーザネームの売買はTwitterの利用規約により禁止されている。しかしその規則を守らせるために同社にできることは少ない。ほとんどの取引は迅速かつひっそりと行われ、PayPalアカウントを通じた支払いが終わればTwitterハンドル名の取引も完了してしまう。

一般に認められている行為ではないが、実際にはかなりの頻度で行われているのである。

需要が高そうなハンドル名を利益目的で取得する行為は「スクワット(Squatting and flipping)」と呼ばれ、決してTwitterに限ったものではない。私の友人はGmailがサービスを開始した当初、Gmailアドレスで同じようなことをしたと言っていた

twitter-buyTwitter側もこうしたユーザ間のハンドル名の取引について認識はしている。しかし売買の当事者を非難すること以外には何もできていないのが現状だ。

サンフランシスコに拠点を置くKillswitchの創設者ジョシュア・ジーリングは、これまでに6つのTwitterアカウントの売買を行った。彼によれば取引の大部分はプライベートにこっそりと行われ、多くの場合Twitterのダイレクトメッセージをきっかけに始まるという。

ジーリングは以前「フィクサー」として活動し、個人や企業が求めるドメイン名やTwitterアカウントその他のソーシャルメディア資産の獲得を任されていたという。

「ソーシャルメディア資産を持つ人々を見つけてコンタクトし、売買の交渉をすることは簡単な仕事ではありません」とジーリングは語っている。「自分のTwitterハンドル名を欲しがっている企業がいると分かると、皆多額の報酬を要求してくるのです。買い手がが上場企業である場合はなおさらです。」

写真家でTwitterハンドル名「@photo」を所有しているマイケル・オドネルも、これまでに何度もオファーを受けてきた。オドネルによるとオファーが一番多かったのは2013年初頭で、最近は関心が減ってきているという。彼のハンドル名を350ドルで買いたいというオファーもあったが、彼はそれを断っている。

Twitterの対応

ジーリングがアカウントの売買を代行したような企業にとって、正しいTwitterアカウントを持つことは、ブランドイメージの観点からも重要だ。しかし一部の悪質なハッカーは、単にアカウントの乗っ取り行為そのものを楽しんでいるだけのように思える。

ヒロシマのケースの場合、ハッカーの望みは「@N」というハンドル名を所有することだけであった。ハッカーがアカウントを乗っ取った際にフォロワーは300人しかいなかったので、フォロワー目当てだったわけではないだろう。

この一件はTwitterを難しい立場に立たせることになった。Twitterはアカウントのハイジャックへの対処を頻繁に行っている。もし誰かのアカウントがジャックされた場合、同社はTwitterアカウントを停止し、正当な所有者と連携して元の状態に戻すための作業を進めることができる。だが不運にもヒロシマのケースでは(もちろん脅迫された結果だが)、彼は自らの意思でアカウントを譲っているため、Twitterが介入することが難しかったのだ。

どうやらTwitterは事態の収集のために@Nアカウントを停止したようだが、ヒロシマの手に戻るまでに再度別のユーザーに不正に取得されてしまっていたようだ。

アカウントのハイジャックはTwitterに限った話ではない。我々がオンラインで活動する以上避けては通れない問題なのだ。セキュリティ侵害のリスクを効果的に回避するには、2ファクタ認証を実装したり強固なパスワードを維持するなどの予防措置を講じていく必要がある。

一般的なTwitterハンドル名を持つ人であれば、ハンドル名を手放す必要に迫られたり狙われてハッキングされたりといったトラブルに巻き込まれることはあまりないだろう。しかしヒロシマの経験は、我々のオンライン資産がいかに危うく、いかに簡単にそのシステムが操作されてしまうかを、不運な例として我々に示してくれたのである。

画像提供:eldh(Flickrより)

Pocket