2019年12月21日、Twitterが公式アプリ「Twitter for Android」を利用している(利用していた)ユーザー向けに、乗っ取りにつながる可能性がある不具合を修正したとして、アプリの最新アップデート適用を促すメール「Twitterアカウントのセキュリティ上の不具合 – Twitter for Androidを更新してください」を送信しています。
目次
「Twitterアカウントのセキュリティ上の不具合」は本物のお知らせ
Twitterは公式アプリ「Twitter for Android」を利用しているユーザー、あるいは過去に利用していたアカウントに対して、アカウントの乗っ取りにつながる可能性がある不具合の修正を知らせる、以下のメール「Twitterアカウントのセキュリティ上の不具合 – Twitter for Androidを更新してください」を送信しています。
件名:Twitterアカウントのセキュリティ上の不具合 – Twitter for Androidを更新してください
Twitterからのお知らせです。
アカウントの乗っ取りにつながる可能性のある不具合を修正しました。この不具合が悪用された痕跡はありませんが、完全には確認できないため皆さまにお知らせしています。この不具合の詳細はこちらをご覧ください。
アカウントのセキュリティを確保するため、できるだけ早く最新バージョンのTwitter for Androidに更新してください。
ご迷惑をおかけし申し訳ありません。Twitter上の情報のセキュリティが確保されるよう取り組みを続けてまいります。こちらのフォームからTwitterのデータ保護担当事務局までお問い合わせいただくと、アカウントのセキュリティについての情報をリクエストできます。
よろしくお願いします。
なお、送信元のメールアドレスはTwitterが所有するnotify(at)twitter.comとなっていました。
もし上記以外のメールアドレス、TwitterアカウントのIDやパスワードの入力を求める形で似たお知らせメールが届いた場合は、フィッシング詐欺の可能性が非常に高いので注意してください。
非公開アカウントの情報が漏れる、乗っ取りに繋がる脆弱性が修正
Twitter公式ブログによると、最近のアップデートで悪意のある人物が非公開アカウント(鍵アカウント)の情報を参照したり、無断でツイートやダイレクトメッセージを送信できる可能性(乗っ取り)を修正したとのことです。
最近、Twitter for Androidの脆弱性が修正されました。この脆弱性により、悪意のある人物が非公開のアカウント情報を参照したり、アカウントを制御したりできる(つまり、ツイートやダイレクトメッセージを送信できる)可能性がありました。修正前は、Twitterアプリの制限されたストレージ領域に悪意のあるコードを埋め込むといった複雑なプロセスにより、悪意のある人物がアプリから情報(ダイレクトメッセージ、非公開ツイート、位置情報)にアクセスすることが可能だった恐れがあります。
もし不具合を悪用した被害に遭うと、第三者によって非公開アカウントの情報が外部に漏れたり、無断でツイートやDMを送信される恐れがありますが、今回の案内メールには“不具合が悪用された痕跡はありません”と記載されているので、過度に心配する必要は無さそうです。
また既に最新バージョンにアップデート済みの場合でも、行き違いでお知らせメールを受信する場合があるので、その場合はメールを無視してください。
Google Playで「Twitter for Android」をアップデートする
iPhone版Twitter公式アプリは影響無し
今回の不具合はAndroid版のTwitter公式アプリ「Twitter for Android」に限った話になるため、iOSデバイス(iPhone/iPad/iPod Touch等)をお使いの場合は特に心配はありません。
脆弱性の修正に関連するTwitter公式の発言まとめ
今回の脆弱性の修正に関して、Twitter公式アカウント(@TwitterSupport)が関連する情報をいくつかツイートしているので、最後にまとめておきます。
We recently fixed a vulnerability within our Android app. To keep your account safe, please update your app as soon as possible. The update is available here: https://t.co/ImcsssBt9b
— Twitter Support (@TwitterSupport) 2019年12月20日
意訳:先日Androidアプリ内の脆弱性を修正したので、アカウントの安全性を保つために、できる限り早くアプリをアップデートしてください。アップデートはこちらから入手できます。
If you’re unable to update your app, use https://t.co/fuPJa3nVky. We’re sorry about this and we’ll continue working to keep your information secure on Twitter. To learn more about what happened, read our blog: https://t.co/WuUDZlVaZe
— Twitter Support (@TwitterSupport) 2019年12月20日
意訳:アプリケーションを更新できない場合は、https://twitter.comを利用してください。ご迷惑をお掛けし大変申し訳ございません。引き続きTwitter上の情報を安全に保つよう努めます。不具合の詳細に関してはブログを参照してください。
This vulnerability has already been fixed in the latest version of the app that was made available earlier this week on Google Play. If you’re having trouble installing the app, please see: https://t.co/HL8nqxAVrS
— Twitter Support (@TwitterSupport) 2019年12月20日
意訳:この脆弱性は、今週Google Playで公開された最新バージョンのアプリで修正しています。アプリケーションのインストールに関して問題がある場合は、以下を参照してください。
To provide more detail, this issue was fixed in Twitter for Android version 7.93.4 (released Nov. 4, 2019 for KitKat) as well as version 8.18 (released Oct. 21, 2019 for Lollipop and newer). Twitter for Android is no longer supported on Android OS versions older than KitKat.
— Twitter Support (@TwitterSupport) 2019年12月20日
意訳:この問題はTwitter for Androidバージョン7.93.4(2019年11月4日にKitKat向けにリリース)とバージョン8.18(2019年10月21日にLollipop以降向けにリリース)で修正しました。Twitter for Androidは、KitKatより古いバージョンのAndroid OSでのサポートは終了しました。
コメントを投稿する(承認後に反映されます)