Twitterの乗っ取り事件について

Twitterアカウントの「乗っ取り」の手口ですが、最近で最も多いのは「偽アプリの導入」ですね。 AppleとかYoutubeみたいな、誰でも知ってて良く使う大手有名企業の公式アプリにそっくりの偽アプリを作り、それをスマホとかにインストールさせて騙されたUserが使う時に「最初にIDとパスワードを入力してください」みたいなメッセージで相手のIDとパスワードを入力させて、その瞬間に裏で詐欺サイトのサーバへデータが一瞬で送信される仕組みです。被害者が乗っ取りに気付いてすぐにアカウントのパスワード変更などの対策を取れない様に、偽アプリ側ではこの時点では「処理に時間がかかっています…」と表示させて置いて、実際には何もせずに裏で犯行が完了するまでの時間を稼ぐ様にしています。 他には単純に、インターネットの闇市場で定期的に数百万件単位でのパスワード流出事件とかあるので。それを闇市場で購入して、その中にあるIDとパスワードを手当たりしだいに入力して当たるのを待つやり方ですね。無論、これは手作業では無く、PCのそれ専用のツールを使って1時間で数万件単位でアタックを掛けます。流出したのが全然、別のwebサービスのモノであっても、世の中の99%の人は全てのパスワードを "自分専用パスワード(笑)" で使い回しているので。1万件に2～3件くらいは当たりが引けますね。 で、そうやってお目当てのwebサービスのアカウントに侵入する事に成功したら…まずは防犯対策(笑)！速攻でパスワードを変更して、元の持ち主が入れない様にします。この時にいわゆる「二段階認証(多重要素認証)」というモノを掛けて置くと、パスワード変更などの重要な項目に関してはその場ですぐには作業が完結せずに、事前に必ず「本当に変更してもよろしいですか？」みたいな確認メールが登録して置いたスマホに送信されて、そのメールに添付されている確認用の特別なリンクをクリックしないとパスワード変更が出来ない様になっています。 これをやって置けば、万が一に乗っ取りにあった場合でも、スマホごと盗まれたので無ければ最悪の事態だけは防げるという訳です。よくネット上で頻繁に「二段階認証にしましょう！」と言われているのはこのためです。 で、乗っ取り犯はプロなのか？という話ですが…まあ基本的にはそうですね。昔と違ってアカウント乗っ取りは、即犯罪行為として立件されて発覚すれば逮捕有罪となるので。ちょっとイタズラでやるにはリスクが大きいので、プロの犯罪組織がそれなりの人員と機材を使って大掛かりにやる事が多いです。ただし質問者が気になっている例の「少年革命家」の事件に関しては、金銭目的では無く明らかに愉快犯の人がやってますね。まあTwitterでイキって…もとい目立っている人のアカウントは、この手のハッカーによって24時間365日完全監視体制の中にあるので。一瞬でも気を抜けば、あっという間に乗っ取られてしまいますね。自称、嘘を見抜けるN村さんも乗っ取りでは無いですが、長年愛用してきたTwitterのアカウント名を第三者に取られてしまいましたね。 こうやって取得したアカウントはそれだけでは余り意味が無く。奪取した後、そのアカウントに紐付けられている他のwebサービスに代理ログイン出来る事に大きな価値があります。最近はちょっとゴタゴタしていますが、Twitterアカウントがあればそのまま簡単ログインできるwebサービスてかなり多いですよね。あとぶっちゃけ、Twitterアカウント自体にはほとんど価値が無くて。前述の通り、そのTwitterのIDとパスワードで使い回している他の本命のアカウント、この場合は大体はgmailですね。これを乗っ取る事が出来たらかなりの事が出来る様になるので。Twitterはそのための入り口に過ぎない場合が多いです。 後はまあ、長年使われて来たアカウントであれば、それなりにフォロワー数も多いだろうから。そこから第三の詐欺サイトへ誘導するためのスパムをばら撒くための拡散装置にするために、ガードが緩い利用者が多いTwitterはよく狙われます。他には自分では活用せずに、盗んだアカウントを闇市場で転売して利益を出す方法もあります。