前田知洋の“マジックとスペックのある人生” 第159回

デジタル好きなマジシャンなのに……Twitterアカウントが乗っ取られました

マジックでタネがバレてしまうのはNG

　筆者の仕事はマジシャンです。トランプなどを使い、観客のすぐそばで演じるタイプのマジックをしています。2005〜2015年頃には、テレビに出る機会も多かったので、もしかしたら、ご覧いただいた方もいらっしゃるかもしれません。

　マジックでNGなのは、演じている最中に「タネがばれてしまうこと」。そうなれば、クライアントにも恥をかかせますし、お客さんをガッカリさせてしまうからです。マジックやテクニックを発案した、歴史上のマジシャンにも申しわけが立ちません。

　たまに、疲れていたり、体調が悪かったりで、セリフを忘れてしまうこともあります。でも、いまのところ、タネがバレてしまうような派手な失敗はせずに済んでいます。まるでサーカスの綱渡りのように、ギリギリ落ちずに続けているだけかもしれませんが……。

マジック!? 筆者がセクシーなお姉さんに突然変化

　筆者の場合、ASCII.jpで連載をしていたり、IT関連の講演などもしたりしています。なので、「ITに詳しそうなマジシャンなのに、パスワードがバレる！」だなんて、ダブルで恥ずかしいので、ずっと気をつけていました。

　しかし……やっぱりそのときが来ちゃったんですよね。

　ある日、Twitterのフォロワーさんから「前田さん、アカウント乗っ取られてません？」と連絡をいただいたのが、そのスタート。

　Twitterにアクセスしてみると、自分の写真がセクシーなお姉さんに変身しています。まるでマジックみたい。プロフィールには「JK」「外国女」「大学生」などとあり、見るからにあやしいサービスの案内アカウントになっています。

筆者のアイコンがセクシーなお姉さんに変化（外国語で不謹慎なフレーズがあるといけないのでモザイク処理をしました）

　マジシャンは人を驚かせるのが仕事ですが、今回は自分がビックリさせられました。

　乗っ取りと同時にパスワードは変更されていたようで、アカウント削除もできません。

　実はこのアカウント、いわゆる「本アカウント」ではなく、10年ほど前に個人でデジタルメディアを始めた頃に作ったモノ。数年前に更新も終わり、そのまま放置していたアカウントでした。

原因は、パスワードの使い回しと、企業からの漏洩と予想

　そのアカウントに紐づけられたメールボックスを5年ぶりにチェックしてみると、「乗っ取り」の兆候がありました。おなじみの「おまえのアカウントをハックしたので、ビットコインで〇〇ドル振り込め」という脅迫メールがたくさんあります。

　そんなメールを無視し続けていたせいか、あやしいサービスのアカウントにされてしまった（売却した）のでしょう。まぁ、元の筆者のアカウントも、マジシャンなので十分にあやしいのですが……（笑）。

　ちなみに使っていたパスワードはハッシュ値が逆引きされなそうな文字列＋数字の計8桁でした。言い訳にすぎませんが、10年前はそんなパスワードで十分に安全だったという認識でいたんですよね。

　当然の話ですが、あるサービスからパスワードが流出してしまうと、ほかのサービスでパスワードを使いまわしている場合、それらに一斉に不正アクセスされてしまう危険があります。そこで、サービスごとに異なるパスワードを設定しておけば、パスワードが推測されたり、情報が流出したりしても、不正アクセスされる可能性は下がるとされています。

　筆者はどちらかというと、オンラインサービスは利用しないアナログ派。あやしいサイトでユーザー登録は、ほぼしないタイプです。あれば便利なのでしょうが、銀行のオンラインアカウントすら持っていません。

　ただ、数は少ないながらも、登録していたオンラインサービスはありました。そこで、乗っ取られたTwitterのアカウントのパスワードを、おそらく使い回していたのです。

　そんな理由から、今回の乗っ取りに関しては、パスワードをハッシュ関数を通さずに、そのまま保存していた企業のサーバーからパスワードが漏れたのでは……と推測しています。古い規格のハッシュ値が漏洩した可能性もあるかもしれません。

　もちろん、使わないアカウントを放置し、（当時は）パスワードを使い回していた筆者の落ち度なわけですが……。

乗っ取られたのが放置アカウントだったのは不幸中の幸い

　筆者の本アカウントは1万人ほどフォロワーがいますが、乗っ取られたのはアクティブでないアカウント。フォロワーが100名前後に減少していたことや、アカウントに連携したメールアカウントが別のパスワードで無事だったことはラッキーでした。

　というのも、ツイッター社にアカウントを復旧してもらうためには、アカウント登録時のメールアカウントにアクセスできる必要があるからです。

　脅迫メールが来ていたので、乗っ取り犯は「メールアカウント（Twitterのアカウント）」と「Twitterのアカウントのパスワード」は知っていたはず。ここで、仮にメールも乗っ取られていると、復旧がかなり面倒になり、時間がかかります。ツイッターのパスワードとメールパスワードは別だったようで、10年前の自分を褒めてあげたいです（笑）。

ツイッターアカウントの復旧は意外にスムーズ

　肝心のアカウントの復旧ですが、意外にスムーズ。ツイッター社は、ユーザーがアカウントを乗っ取られてしまうことを想定しているようで、アカウント復旧のメールのやりとりは、数分〜1時間ほどで対応してもらえました。

　注意点は下の3つです。

1：ツイッター社には、アカウント登録時のメールアドレスから復旧申請する
2：「最後にいつアクセスしたか？」などツイッター社からのメールでの質問は英語。なので、苦手な方は翻訳サイトを利用（ただし、自分のアカウント名などを含む全文は翻訳サイトにコピペしないほうが安全）
3：復旧しても、アカウントの削除やパスワード変更など、アカウント設定は外国語のまま。なので、復旧したら、まず言語設定からスタートする

アカウントが復旧しても設定画面が外国語のままなら、言語設定からスタート

　最後に、「乗っ取り」を教えてくれた優しいフォロワーさんに、お礼と復旧（アカウント削除）のお知らせをして、ほっと胸をなで下ろしました。

　その余波なのか、同じパスワードを使いまわしていたのか、Facebookのアカウントも凍結されていました。SNSによっては、復旧に身分証明書の画像を添付を要求されることもあるので、有効期限内の免許証かパスポートなどが手元にあると便利かもしれません。

　そんなリスクを避けるために、使ってないSNSアカウントはすべて削除。いまはオンラインサービスは20桁のランダムな文字列による「強力なパスワード」と二重認証をサービスごとに使っています。ただし、パスワードは覚えられないので、macOSのキーチェーンに頼りきりですが……。

　今では自動生成で複雑なパスワードを作成する、パスワード管理ソフトもあります。クラウド経由でデータを共有できるソフトなら、パソコンからでもスマホからでもパスワードが同期されて利用できるので、「覚える自信がない」という人は検討してみてください。

　皆様におかれましては、マジック以外で、こんな変化にビックリされないよう「使わないアカウントは放置せずに削除」や「強力なパスワード機能の利用」などがおすすめです。こんな経験をした筆者が申しても、説得力がないのかもしれませんが……（汗）。

前田知洋（まえだ ともひろ）

　東京電機大学卒。卒業論文は人工知能（エキスパートシステム）。少人数の観客に対して至近距離で演じる“クロースアップ・マジシャン”の一人者。プライムタイムの特別番組をはじめ、100以上のテレビ番組やTVCMに出演。LVMH（モエ ヘネシー・ルイヴィトン）グループ企業から、ブランド・アンバサダーに任命されたほか、歴代の総理大臣をはじめ、各国大使、財界人にマジックを披露。海外での出演も多く、英国チャールズ皇太子もメンバーである The Magic Circle Londonのゴールドスターメンバー。

　著書に『知的な距離感』（かんき出版）、『人を動かす秘密のことば』（日本実業出版社）、『芸術を創る脳』（共著、東京大学出版会）、『新入社員に贈る一冊』（共著、日本経団連出版）ほかがある。

ASCII倶楽部