Twitterのパスワードリセットメールを使う嫌がらせ攻撃を止める方法

Webサービスではパスワードを使って個人の認証を行うわけですが、そのパスワードを もしもうっかり忘れてしまった時のために、多くのWebサービスにはパスワードリセットのメールを送信する機能があります。
ユーザー登録に使ったメールアドレスに任意のURLを送り、そのURLでパスワードが無くても本人確認するという仕組みです。
もちろんTwitterにもこうした仕組みがあります。
トップページから


「パスワードを忘れた場合はこちら」をクリックして



メールアドレスか、ユーザー名(screen_name)を入力して「送信」をクリック



とするとパスワードリセットのメールが送信されます。
あとは届いたメールの指示に従って操作することで、パスワードを忘れてしまっても本人確認がされるというわけです。


そしてここまでの手順の説明から分かる通り、通常はTwitterではパスワードリセットのメールはユーザー名(screen_name)さえ入力してしまえば、簡単に送信できてしまうんですよね。
たとえそれが自分以外の第三者のユーザーであったとしても。

身に覚えのないパスワードリセットメールが送られてくるケース

このことを利用して

  • 嫌がらせ目的?
  • または何らかの乗っ取り攻撃の手口?

……か何かよく分かりませんが、身に覚えのないパスワードリセットのメールが勝手に送られてくる事例がこのところあります。最近タイムラインでそうしたことで困っている人をときどき見かけますし、私自身も昨年末になぜか連続で十数通のパスワードリセットメールが送信されてきたことがありました。
当然、自分で送ったわけではありませんから、第三者による嫌がらせ?の攻撃?だと思われます。*1


とは言え、このパスワードリセットメール単体でなにかの攻撃になるわけではないですし*2、無視すれば良いだけではあるのですが、毎度毎度メールが送られてきて煩わしいのも事実。あと嫌がらせの犯人?または無差別のbot?の意図がよく分からないのも、もやもやする部分ではあります。


ですので設定を変更して対応策をとりましょう。
Twitterにもこうした状況に対して問い合わせが多いのか、ユーザー名(screen_name)だけでパスワードリセットのメールを送信できないように設定できます。

ヘッダ部分の「設定」から

設定のページで、「パスワード パスワードのリセットに個人情報を使う」を選択します。


この設定を行うと、

パスワードリセットをする際には、ユーザー名の入力後に



メールアドレスも入力を求められます。
こうすれば嫌がらせの相手やbotはメールアドレスは分かりませんから、

三者によるパスワードリセットのメール送信を防ぐことができました。

この際、当然ですが嫌がらせをする人間(攻撃者)には容易には知られないメールアドレスに設定しておくといいでしょう。私も昨年末のメール連発以降この設定に変えたのですが、それからはパッタリ送られていません。


ただ、メールアドレスも場合によっては嫌がらせの相手に知られてしまう可能性もあります。さらに安全性を高める方法として便利なのがGmailエイリアス機能です。

Gmailエイリアス機能を併用する

GmailとはGoogle社のメールサービスで……という説明は有名すぎるので、不要ですね。

Gmail http://mail.google.com/



Gmailには色々な機能があるのですが、「エイリアス」という機能は非常に便利なのでこうしたWebサービスの登録メールアドレスとして活用するといいでしょう。


エイリアス機能1:ピリオドを追加する

例えば
example@gmail.com
というGmailアドレスがあるとします。
このとき、

ex.ample@gmail.com

アカウント部分にピリオドを追加したこうしたメールアドレスでも example@gmail.com 宛に届きます。
また

exampl.e@gmail.com
ex.am.ple@gmail.com
e.x.a.m.p.l.e@gmail.com

こんな風に複数のピリオドを入れても全て example@gmail.com 宛に送信されます。

エイリアス機能2:+任意の文字列

もう一つの機能は「+(プラス)」を使って文字列を追加する手法

example+foobar@gmail.com
ex.ample+hogepiyo@gmail.com

とやっても、同じく全て example@gmail.com 宛に届きます。


そのため、仮にGmailのアカウントが嫌がらせの相手に知られてしまっても、Twitterに登録するメールアドレスを

example+(ランダムな文字列)@gmail.com

としてしまえば、容易に推測はできないですし、パスワードリセットメールを乱発されることもなくなります。またこの手法はTwitterだけに限らず、Webサービスごとにそれぞれランダムな文字列のエイリアス機能を設定することで、

  • もしもパスワードが漏れてしまった際の安全性の向上
  • Webサービスからのメールを振り分け処理する際の選定基準

と色々と活用方法があり、結構便利なので設定しておくといいでしょう。

参考リンク

http://nanapi.jp/2424/
Gmailで使用可能な別名アドレス(エイリアス) | Gmailの使い方 | AjaxTower


ただWebサービスによっては、「+(プラス)」が使えないものもありますのでその点はご注意ください。




あともちろん本当にパスワードを忘れて、自分でパスワードをリセットする際に
「メールアドレスが分からなくてできない!」、ということないようきちんと管理する必要はあります。

><

*1:アカウントが似ている人が間違えて入力した可能性もありますが

*2:他の手口と組み合わせる方法が無いとは言えませんが