ずさんなTwitter、なりすまし続出はどうなるのか

有名人をかたるなりすましが増えている。一つのきっかけはTwitterが導入した「Twitter Blue」のあまりにずさんなユーザー認証だ。

[Matt Kapko，Cybersecurity Dive]

　Twitterのなりすましが騒がれている。有名人のなりすましを防止できていない。Mastodonでも同じような事態が広がっている。何が問題を引き起こしているのだろうか。

Twitterで起きる有名人のなりすまし

　被害に遭ったのは誰か？

　サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）のジェン・イースタリー氏だ。2022年11月21日から始まる週にMastodonと、Mastodonを使った分散型SNS「infosec.exchange」でなりすましに遭った。

　infosec.exchangeを含むさまざまインスタンスの「Fediverse」（ブログやSNSを提供する複数のサーバが相互につながる集合体）全体でも、イースタリー氏（Easterly）を装った複数のなりすましアカウントが見つかった。

　infosec.exchangeのジェリー・ベル氏（サーバ所有者、管理者）が発見した政府高官をかたるアカウントは今のところイースタリー氏のなりすましだけだ。このアカウントは既に停止されている。「CISA内の人物のなりすましアカウントをそれぞれのインスタンス所有者に報告して、削除するよう依頼した」（ベル氏）

TwitterからMastodonへの「移住」が続く

　Mastodonインスタンスは、さまざまなルールを持つ独立した管理サーバで動作し、Twitterに幻滅したユーザーから、新しいソーシャルメディアの拠点として関心を集めている。ベル氏の本業はIBM Public Cloudのバイスプレジデント兼CISO（最高情報セキュリティ責任者）だ。ベル氏によれば、Mastodonのinfosec.exchangeインスタンス（ユーザー）は、11月中の3週間で180人から3万1000人に急増したという。

　連邦政府高官や政府機関のなりすましは、ソーシャルメディアに共通する一貫した問題点を浮き彫りにした。本人確認システムはなりすましのリスクを最小限に抑え、ユーザーがフォローしている著名な組織やユーザーが本物だということを確信できるように設計されているはずだ。

　だが、2022年11月に起きたTwitterの認証システム変更は問題を引き起こしている。わずかな期間で実装された「Twitter Blue」改修の結果、月額8ドルで認証を受けることが可能になり、有名企業や個人になりすます例が急増した。Twitterの従業員はもちろん、ユーザーや業界オブザーバーの間ですぐに懸念が広がった。このような反発を受け、Twitterは1週間以上、認証システムを導入せずに運営することになった（注1）。

　CISAはMastodonのなりすましアカウントに気付いた結果、削除を依頼したと、イースタリー氏はツイートしている（注2）。さらなるなりすましを避けるためのアカウントをCISAが作成したものの、イースタリー氏は、そこに積極的に投稿するかどうかはまだ決めていないと述べた。CISAはこれ以外の詳細なコメントを明かしていない。

なりすましを防ぐ方法は1つしかない

　Emsisoftのブレット・キャロウ氏（脅威アナリスト）は「他の政府当局や機関にも同じなりすましの課題があるだろう」と電子メールに記した。

　「これまでのFacebookとTwitterの認証システムは確かに完璧ではなかったものの、認証済みアカウントの所有者になりすますことは難しかった。Twitterは現在、身元確認の本当の手段を持っていない。だが、多くのTwitterユーザーが移行しつつあるプラットフォーム（Mastodon）も同じ状況にある」（キャロウ氏）

　Mastodonがアカウント所有者の身元を確認するための手段は、Twitterの以前の確認プロセスほど厳密ではないことをベル氏も認めている。Mastodonの身元確認要件を満たす方法は、ユーザー自身が関連するWebサイトを管理していることを証明するというものだ。

　認証要件が多少甘いため、Mastodonの管理者はコミュニティーから受ける偽物の報告に依存している。

　「管理者はこの流れに熟練している。われわれが気付いたときには迅速にトリアージを実行して、対処するように努めている」（ベル氏）

　CISAに関連するとされるアカウントは、他のCISAのソーシャルメディアアカウントから再投稿していた。「誰かが良心的な再投稿によって権威を確立したとしよう。その後、有効なリンクや情報を悪意のあるものに置き換え始める可能性がある」とベル氏は述べている。つまりこのやり方ではなりすましを完全に防ぐことはできない。

　「ソーシャルメディアにおけるなりすましのリスクは、人々が全てのプラットフォームで任意に使用できる標準的な認証形式を用いることでのみ解決できる」（キャロウ氏）

Twitterは緩すぎる

　ユーザーがTwitterからMastodonや他のプラットフォームに移行したのは、「なりすましが起こることが少ないと認識したからではない」とベル氏は言う。

　「他の懸念に増して、Twitterが自らを統治し、ユーザーを違法性のあるコンテンツから保護する能力が実はないのかもしれない。このような信頼の欠如が原因だ」（ベル氏）

　Mastodonにはヘイトスピーチや人種差別、過激な意見、暴力をホストする複数のインスタンスがある。だが、ベル氏の管理下にあるinfosec.exchangeは、これらの行為を許可していない。ベル氏のプロフィール（注3）にもこう記されている。

　「他人にやさしくしよう。短い時間しかここにいないのだから。一緒に楽しもう」

出典：Growing Mastodon security community grapples with CISA impersonators（Cybersecurity Dive）

注1：Where will the security community turn, if not Twitter?（Cybersecurity Dive）

注2：Jen Easterly氏によるツイート

注3：Jerry Bel氏のMastodonのプロフィール