CloudSEKは8月1日(米国時間)、「How Leaked Twitter API Keys Can be Used to Build a Bot Army - CloudSEK」において、約3200のモバイルアプリがTwitter APIキーを漏洩させていると伝えた。CloudSEKが提供するモバイルアプリ向けセキュリティ検索エンジンの調査によって判明したとのことだ。
-
How Leaked Twitter API Keys Can be Used to Build a Bot Army - CloudSEK
今回、3207のモバイルアプリから、Twitterアカウントへのアクセスや乗っ取りに悪用できる Twitter API キーが漏えいしていることが明らかとなった。それらのうち、さらに230のモバイルアプリでは、Twitterのすべての認証資格情報が漏洩していたという。すべての認証資格情報を悪用されると、Twitterアカウントが完全に乗っ取られ、重要かつ機密性の高いアクションに使われる恐れがある。
重要かつ機密性の高いアクションとは具体的に、ダイレクトメッセージの閲覧、ツイートのリツイート、いいね、削除、任意のアカウントのフォロー、フォロワーの削除、アカウント設定へのアクセス、アカウントのプロフィール画像の変更など、さまざまなアクションを指す。
CloudSEKは、乗っ取られたTwitterのアカウントがSNS上で誤った情報を広めるために利用される危険性があると指摘。Twitterは多くのユーザーにニュースや情報の取得媒体として使われている。そのため、乗っ取られた認証済みのアカウントは、フィッシング詐欺の信憑性を高めるためや新型コロナウイルス感染症(COVID‑19)の誤報の拡散に悪用されている。
このようなサイバー攻撃を防ぐため、CloudSEKは開発者に対してはAPIキーが直接ハードコーディングされていないか、コードの調査やレビューによる確認を行うとともに、定期的にAPIキーをローテーションし、漏洩によるリスクを軽減させるなどの対策を行うよう推奨している。
