Xアカウント乗っ取りフィッシングは、高度な手法でクリプト著名人のXアカウントを標的とし、Xのアプリ認証を悪用してパスワードや2FAを回避。偽装アプリの承認を誤って許可すると、完全なアカウント操作が可能になるため、不審な連携アプリは即刻解除しましょう。
-
偽装アプリ承認:攻撃者は「カレンダー」アプリを偽装し、広範な権限を要求します。
-
この詐欺は、Xのプレビュー用メタデータや見た目が正当なリンクを悪用し、ターゲットに権限付与を誘導します。
-
セキュリティ研究者から実被害の報告があり、Xの設定から見覚えのない連携アプリを解除することが推奨されています。
Xのアプリ認証を悪用したアカウント乗っ取りフィッシングは2FAを回避してアクセス権を盗みます。連携アプリを確認し、不審なものはすぐに解除しましょう。対策方法もあわせて解説します。
Xアカウント乗っ取りフィッシングとは何か?
Xアカウント乗っ取りフィッシングは、X(旧Twitter)のアプリ認証機能を悪用し、正規の認証フローを通じてアカウント権限を奪う攻撃です。攻撃者は偽装されたアプリ承認ダイアログを使い、被害者に不必要に広範囲な権限を許可させ、アカウントの完全制御を可能にします。
2段階認証をどうやって突破するのか?
攻撃はパスワードやログイン情報を盗むのではなく、XのOAuth認証の仕組みを利用します。被害者は、一見信頼できる実在のアプリに似せた名前の悪質なアプリに対し、幅広い権限を求められるXの認証ページにリダイレクトされます。
技術的には、怪しいURLが一瞬だけ表示される、キリル文字を含む偽装アプリ名が使われる、アプリの本来の用途に合わない権限(例:「カレンダー」アプリなのに投稿やプロフィール編集権限を要求)が特徴です。
新たに発見された難検知型のフィッシング攻撃は、クリプト著名人のXアカウントを標的にし、Xのアプリ認証システムを悪用してパスワードや2FAを回避します。
この高度なフィッシングキャンペーンは、クリプト領域の著名人をターゲットにしており、従来の詐欺よりも巧妙に2FAをバイパスし、信頼性が高いように見えます。
Crypto開発者Zak Cole氏が水曜日にXで投稿した情報によると、今回のキャンペーンはXのインフラを利用したもので「検知ゼロ・現在進行中・完全アカウント乗っ取り」と述べています。
Cole氏は、この攻撃が偽のログインページやパスワード盗難を使わないことを強調し、Xのアプリ認証機能を巧みに利用して2FAも回避してアカウントに侵入する手口であると指摘しました。
MetaMaskのセキュリティ研究者Ohm Shah氏もこの攻撃を「実際に発生中」と確認しており、OnlyFansモデルが簡易版の攻撃に遭った事例も報告されています。
攻撃者はどのように信頼できるフィッシングメッセージを作るのか?
このキャンペーンは、Googleカレンダーのリンクに見える正規のプレビューをXのメタデータ生成機能で偽装したダイレクトメッセージから始まります。プレビューの見た目が正しいため、受信者はリンク先を信頼しやすくなっています。
報告された事例では、プレビューに calendar.google.com と表示される一方で、実際のリンクは x(.)ca-lendar(.)com といった類似ドメインに誘導されます。悪質なページからはXの認証承認画面にリダイレクトし、アプリ権限を要求します。
メッセージ内のフィッシングリンク。 出典:Zak Cole
偽装アプリは「Calendar」と表示されますが、キリル文字の一部を使い一見すると本物に見えるようにしており、Xのシステム上は本物のカレンダーアプリとは異なるものとして扱われています。認可すると投稿・削除・フォロー・プロフィール編集など広範な権限がそのアプリに付与されます。
フィッシングサイトのメタデータ。 出典:Zak Cole
ユーザーはいつ攻撃を気づけるか?
注意すべきサインは、リダイレクト直前に一瞬だけ怪しいURLが表示される、権限要求が不自然に多く関係ない内容であること、そして最終的なリダイレクト先がGoogleカレンダーとは無関係なcalendly.comへ飛ばされるなどの不一致です。これらは明確な警告サインです。
セキュリティ研究者はXの連携アプリを定期的に確認し、不明または怪しいアプリ、特に「Calendar」または類似の偽装された名前のアプリをすぐに解除することを推奨しています。
Xのアプリ認証リクエスト(フィッシング) 出典:Zak Cole
よくある質問
Xで連携アプリをどう確認する?
Xアカウントの設定を開き、「連携アプリ」セクションに進みます。リストを確認し、見覚えのない、または使用していないアプリはすぐに解除しましょう。特に「Calendar」や似た名前の偽装アプリを優先的にチェックしてください。
乗っ取りを防ぐための即時対応は?
Xの連携アプリから悪意あるアプリのアクセスを解除し、パスワードを変更、強力な認証設定を有効化してください。また、最近のアカウント活動をレビューし、不正なDMや承認リクエストは記録しプラットフォームのサポートに連絡することを推奨します。
まとめ
- 攻撃経路:アプリ承認権限の悪用。パスワード窃盗ではなく過剰な権限要求で乗っ取る。
- 検知ポイント:プレビューの不一致、怪しいURL、キリル文字の偽装、無関係な権限要求に注目。
- 対策:不審な連携アプリの解除、認証情報の変更と最近の活動監査。特に公のクリプト著名人は優先的に。
結論
今回のXアカウント乗っ取りフィッシングは、従来のパスワード・2FAを回避する認証ベースの乗っ取り手法に進化しています。COINOTAGは、即時に連携アプリを確認し、不審な権限を速やかに解除、定期的なセキュリティ点検を強く推奨します。
