中国企業による「X」アカウントを乗っ取るシステムがあると報道

【資料流出】中国企業が「世論工作システム」開発か、Xアカウントを乗っ取り意見投稿https://t.co/1mLMQ5xVCA

文書によると、他人のXに不正URLを送信し、クリックさせることでアカウントを乗っ取ることができ、DMを盗み見たり、中国当局の意に沿った意見の投稿が可能になるという。 pic.twitter.com/vLjPN6Wmf8
— ライブドアニュース (@livedoornews) May 11, 2024

・Xのライブドアニュースさん: 「【資料流出】中国企業が「世論工作システム」開発か、Xアカウントを乗っ取り意見投稿…

ある中国企業がX（旧Twitter）で、クリックした場合はアカウントを乗っ取れるリンクをターゲットにクリックさせる事で、アカウントを乗っ取って中国にとり必要な情報を投稿できるシステムを開発した可能性があると報道されました。

アカウントにスマートフォンなどの電話番号を登録している場合はアカウントの乗っ取りを続けられるのか？と考えなくもないですが、X（旧Twitter）運営側がアカウントの個人認証を適時適切に行うシステムを構築する必要もありそう。

乗っ取ったXアカウントを休眠状態で維持して工作活動を行う時に再稼働をする方策が考えられますが、その時に電話番号で本人確認を求めればどうなるのか。現時点で全てのアカウントをチェックする事も有効に思われます。

Copilot「より創造的に」の場合

上記の文章を、Copilot に「DeepL翻訳」英訳で入力しました。
「DeepL翻訳」英訳で入力。英語の応答を、Edgeで日本語に翻訳しています。

Copilot の応答
X(旧Twitter)のようなソーシャルメディアプラットフォームのアカウントセキュリティに関する懸念は、特に最近の報告に照らして、確かに妥当です。上海を拠点とするハイテク企業が、不正なURLを送信してアカウントを乗っ取ることで、Xアカウントを介して世論を操作するシステムを開発している疑いが持たれているようです¹.このシステムにより、プライベートメッセージへの不正アクセスが可能になり、アカウント所有者の知らないうちに投稿することができます¹.

アカウントの乗っ取りの継続については、電話番号を登録していても、Xを含む多くのソーシャルメディアプラットフォームが2要素認証(2FA)を提供していることに注意することが重要です。これにより、パスワードだけでなく、通常は登録済みの電話番号または電子メールに送信されるコードを含むセキュリティのレイヤーが追加されます².2FAが有効になっている場合、攻撃者は2番目の要素にもアクセスする必要があるため、パスワードを知っているか、セッションを乗っ取るだけでは、完全に制御するには不十分です。

Xの経営陣が、電話番号による認証など、タイムリーな本人確認を必要とするシステムを導入すれば、休眠中の乗っ取られたアカウントが操作活動に利用されるリスクを軽減するのに役立つ可能性があります。不審なアクティビティが発生した場合、個人識別を要求することで、不正アクセスを防ぐことができます³.

ユーザーにとっては、次のことが重要です。

すべてのソーシャルメディアアカウントで2FAを有効にします。
不明または疑わしいソースからのリンクをクリックしないように注意してください。
アカウントのアクティビティと接続されているデバイスを定期的に確認します。
アカウントごとに強力で一意のパスワードを使用します。

これらの手順により、アカウント乗っ取りのリスクを大幅に軽減し、ソーシャルメディアプラットフォーム上の個人情報のセキュリティを強化できます。アカウントのセキュリティが心配な場合は、セキュリティ設定を確認し、利用可能なすべての保護手段を有効にすることをお勧めします。オンラインで安全にお過ごしください!🛡️

詳細情報:
・Chinese Firm Develops ‘Public Opinion Manipulation’ Product; Details Leak Online in Sales Document – The Japan News
・How to enable two-factor authentication (2FA) on every social platform | Mashable
・Account Verification in Social Media: Overview & Use of Technology
・Find Social Media Accounts by Phone Number
・How to Set Up Two-Factor Authentication on Your Social Accounts
・Should you use email or phone number authentication?
・How hackers are targeting X verification accounts to trick you – CyberGuy
・Hackers hijack X accounts for crypto scams, including Google’s Mandiant | ReadWrite | MSN

Gemini の場合

Copilot と同じ三段落文章を、Gemini に「DeepL翻訳」英訳で入力しました。
「DeepL翻訳」英訳で入力。英語の応答を、Edgeで日本語に翻訳しています。

Gemini の応答
この潜在的な脆弱性を懸念するのは当然です。状況の内訳は次のとおりです。

リンクを介したハイジャック:悪意のあるリンクをクリックすることは、攻撃者がアカウントの資格情報を盗む一般的な方法です。このようなシステムが存在する場合、たとえ信頼できるソースからのものであるように見えても、疑わしいリンクを避けることが重要です。
電話認証:電話番号をアカウントにリンクさせることは、諸刃の剣になる可能性があります。検証コードの悪用によるハイジャックに使用される可能性がありますが、合法的にロックアウトされた場合のアカウント回復にも役立ちます。
認証の向上: X (旧 Twitter) はセキュリティを確実に向上させます。電話番号だけを超えた多要素認証 (MFA) は強力な一歩です。生体認証（指紋、顔認識）もオプションの可能性がありますが、プライバシーの懸念が生じます。
ハイジャックされた休眠アカウント: 攻撃者がアカウントをハイジャックし、休眠状態にした場合、再アクティブ化時に電話認証を要求すると、計画が妨げられる可能性があります。ただし、別の検証方法を試したり、他の脆弱性を悪用したりする可能性があります。
一括アカウントチェック: すべてのアカウントをチェックするのは複雑な作業ですが、X (旧 Twitter) は自動システムを実装して、不審なアクティビティを特定し、レビューのためにアカウントにフラグを立てることができます。

できることは次のとおりです。

MFA を有効にする: 強力なパスワードを使用し、X (旧 Twitter) アカウントで多要素認証を有効にします。これにより、パスワードだけでなくセキュリティの層がさらに追加されます。
リンクには注意してください:たとえ知り合いからのものであるかのように、未知の送信者からのリンクや不審な送信者からのリンクをクリックしないでください。
フィッシングを報告する:疑わしいリンクに遭遇した場合は、X (旧 Twitter) に報告して調査してもらいます。

常に警戒し、強力なセキュリティ対策を講じることで、この種の攻撃から身を守ることができます。

詳細情報:Gemini が提示したGoogle検索で見つかった類似するコンテンツ
・8 types of password attacks | SailPoint
・What Does Phishing Mean? Understanding the Basics of Online Security. – Sapphire.net
・What MFA Means: Benefits of Multi-Factor Authentication | Duo Security
・Can clicking on sketchy video links on Twitter potentially result in a virus or unauthorized access to personal information? – Poe

共有: