3200以上のアプリでTwitterのAPIキーが流出していることが判明、アカウント乗っ取りも可能

サイバー犯罪の監視を手がけるセキュリティ企業・CloudSEKが2022年8月1日に、多数のアプリがTwitterのAPIキーを流出させていることを報告しました。アプリがユーザーに代わってTwitterにアクセスすることを可能とするAPIキーの漏えいによりアカウントへの不正アクセスや乗っ取りが可能になっていると、CloudSEKは警鐘を鳴らしています。

How Leaked Twitter API Keys Can be Used to Build a Bot Army - CloudSEK
https://cloudsek.com/whitepapers_reports/how-leaked-twitter-api-keys-can-be-used-to-build-a-bot-army/

Over 3,200 apps leak Twitter API keys, some allowing account hijacks
https://www.bleepingcomputer.com/news/security/over-3-200-apps-leak-twitter-api-keys-some-allowing-account-hijacks/

Twitter account hijacks made possible by error in 3,200 mobile apps
https://9to5mac.com/2022/08/02/twitter-account-hijacks/

アプリ開発者が自分のモバイルアプリにTwitterの機能を導入する場合、開発者は特別な認証キーを取得し、これによってモバイルアプリがTwitterのAPIとデータをやりとりできるようにします。そして、ユーザーがアプリと自分のTwitterアカウントを紐付けると、このキーによってアプリがユーザーの代わりにツイートを投稿したり、ダイレクトメッセージを送信したりすることが可能になります。例えば、ゲームアプリがハイスコアをTwitterに投稿するような機能がこれに該当します。

CloudSEKによると、この連携機能の要となるAPIキーが3207のモバイルアプリから流出しており、そのうち230のアプリが4つある認証資格情報を全て漏えいしているとのこと。さらに、39のアプリでは4つのキーが全て有効なものだったことが確認されたとCloudSEKは報告しています。

TwitterのAPIキーを入手した悪意ある第三者は、Twitterアカウントを完全に自由に制御し、「ダイレクトメッセージの閲覧」「リツイートやいいね」「ツイートの作成または削除」「フォロワーの追加または削除」「アカウント設定へのアクセス」「アカウント画像の変更」などを行うことが可能になります。

問題のアプリにはダウンロード数が5万から500万回のものが含まれており、アプリの種類も交通アプリ、ラジオ、読書アプリ、ニュース、インターネットバンキングアプリ、サイクリング用GPSアプリなど多種多様でした。CloudSEKはアプリ開発者らにこの問題を報告しましたが、修正が進んでいないため、具体的なアプリのリストは非公開になっています。

IT系ニュースサイトの9to5Macによると、幸いにも乗っ取られる可能性があるのはアプリのユーザーではなくアプリ開発者のアカウントだとのこと。このようなAPIキーの漏えいが発生するのは、アプリ開発者がTwitterのAPIに認証キーを埋め込んでから、リリースする際にそれを削除し忘れることによって発生することが多いと指摘されています。

乗っ取られるのがアプリ開発者のアカウントだからといって、一般のユーザーに直接的な被害が及ばないわけではありません。乗っ取り被害の潜在的なターゲットとなっているアプリ開発者のアカウントの多くは、知名度がある認証済みのTwitterアカウントなので、偽情報やマルウェアを拡散するボットネットワークとして利用されてしまう可能性があります。また、フォロワーを狙った投資詐欺などのスパムキャンペーンやフィッシング攻撃が行われることも懸念されています。

こうした事態を防ぐため、CloudSEKはアプリ開発者らに対して、APIキーを直接コードに埋め込まず、6カ月ごとにAPIキーを変更することなどを呼びかけました。