phaのtwitterアカウントが乗っ取られた件顛末まとめ

ブロガー、作家、ニート、「圧縮新聞」の作者として有名な@pha さんのtwitterアカウントが乗っ取られました。 どういうふうにやられたのか、みんな知っておいたほうがいいと思ったのでまとめます。
Twitter インターネット pha
63816view 64コメント
58
@asshuku
さまざまな競技で活躍するアスリートたちは、日本だけにとどまらず、世界の舞台でも戦っている。剛力は今月、前澤氏とロシアW杯決勝を現地観戦したとみられる写真を投稿。
豊井 @1041uuu
phaさんのツイッターアカウントが乗っ取られたらしいです
豊井 @1041uuu
@phaだけじゃなく圧縮新聞@asshuku も乗っ取られたっぽくて、謎の画像ツイートしててやばい
@2jV9qsAUalIHsn
@pha です。アカウントが乗っ取られました。あと @asshuku@geekhouse_jp@wikipediabot_ja@takuboku も乗っ取られました。つらい…
. @pha
カネを払ってアカウントを買い戻した
. @pha
パスワード結構使いまわしてたのがだめっぽかったです
. @pha
犯人の人に use a password manager + 2 step authentication って言われた
. @pha
他のbotも買い戻したかったら五十ドルでどうだと言われてるけどどうしようかな
. @pha
なぜ僕のアカウントに目をつけたかというと、3文字アカウントでフォロワーが3万人以上いてbotをいくつも持っているから、らしい
豊井 @1041uuu
pha の乗っ取り犯なんか気さくな奴でDMで質問したら色々教えてもらった
. @pha
僕のアカウントを乗っ取ったハッカーとのやりとりです pic.twitter.com/soxaamJMD3
 拡大
. @pha
phaへのカンパはビットコインでこちらまでください… 12TPF3yvk9kLjuAqcetQo2JdspwDU56kPt

コメント

Masaki☆ @masaki_kkmt 8月5日
金払っちゃったのかよ……
はる @chihiro8000 8月5日
「どういうふうにやられたのか、みんな知っておいたほうがいいと思ったのでまとめます。」→「パスワード結構使いまわしてたのがだめっぽかったです」…え、パスワード使い回しがダメってみんな知らないの?
ヴァラドール @_Vorador_ 8月5日
アカウント人質に身代金が取れるのだなあ
師走悠裡 @shiwasu_yuri 8月5日
ネトゲとかでどんなパスワード組んでも垢ハックされる感じあるからツイッターもワンタイムパス導入してくれないかなと思ってる
uki @netgameneet 8月5日
買い戻すなよ
芦原 @love444jojoy 8月5日
パスワードの使い回しなんて散々警告されてきたのによくやるよねぇ 深夜にいきなり圧縮新聞の名前が「圧」だけになったのには笑わせてもらった
Chariot @BLACK_RX_24 8月5日
JRとかの運行情報botも乗っ取られてたな
ネジヤマ(アナグラムおじさん) @nejinejiyama 8月5日
ムーミンBot乗っ取りと同じ犯人かな?
高橋 @progkenji 8月5日
偽物っぽく、「もっと頑張って働こうぜ!」とか本人が絶対言わなそうなこと言い出したら面白かったかもしれない
monchat @monchat 8月5日
クロックスを干したまとめでも思ったけど、これで終わり?という物足りなさ感
オタクモドキと化したぜるたん @the_no_plan 8月5日
まぁ、セキュリティ事故は身近に起こりうるっていう、いい判例材料にはなったな。
. @pha 8月5日
乗っ取ったハッカーとの会話です https://twitter.com/pha/status/1026032741744181248
moxid @moxidoxide 8月5日
盗人に追い銭とも言えるけど、大事なものに金を出すなとも言えない。まあ仕方ないわ
▲noby▲ @WataruNRT 8月5日
もう少し詳しい状況(使いまわし具合)を知りたいところだが。
♡ゆるゆるゆめかわおじさん♡ @momochi_A58RG 8月5日
shiwasu_yuri ありますよ。ただ確認メールの送信が必要な場合、なぜか送ってくれないので設定できませんけど…。
M @181818MMM 8月5日
お金を払ったら実際に返してくれるものなんだな
kartis56 @kartis56 8月5日
181818MMM そうとも限らないので
ロンマニア @LiongHMD 8月5日
pha 買い戻しに #ビットコイン が指定されとる #仮想通貨 が犯罪に使用される実例を見られて感動した
誤ロン @dara2goron 8月5日
彼らはアカウント奪取の為に相当回パスワードの試行をやっていると思うのだけれど。どうしてそこでサービス側がブロックしないの?3回失敗したら3時間ブロックとか実装して欲しい。
かつま大佐(対象年齢10歳) @kamiomutsu 8月5日
教訓まとめ…なのか? (1)パスワード使い回しなんかしちゃダメってお母さん前から言ってたでしょ! (2)悪人に金払っちゃダメでしょ! ということで、他山の石でしかない…。
sooh1911 @SOOH1911 8月5日
やっぱりlastpassやらを使うのが最善なんすねぇ
霞斬り @wabowabowabo 8月5日
どういうふうに乗っ取られたのかが全然分からないのですが…
チャップリン @misumi3104 8月6日
netgameneet 買い戻すしかないでしょう phaさんにとってはツイッターアカウントもフォロワーも商売道具です。代わりが効かないのです。
アルカディアの牧童 @PYU224 8月6日
犯人を調子付かせるだけだから金を払うのはやめとけよ・・・
Mill=O=Wisp @millowisp 8月6日
社会倫理的にはカネを払うべきではないが、当事者的にはカネを払うしかないというのも分かる
ありえない @tkr_nkn 8月6日
で、どういうふうにやられたのよ
uki @netgameneet 8月6日
misumi3104 普通に考えてTwitter社に問い合わせなりすれば買い戻さなくても取り戻せますよね
substrate @substration 8月6日
要求額安いな。面倒だから金払っとけってなるのはわかる。
56号 @56gojp 8月6日
我が子が誘拐されて、一万円払えば返してやる、って言われれば払うのは仕方ない。
快姫 @_kaihime 8月6日
Twitter社がまともに対応してくれるかはわからないし、失敗した時に犯人が「運営に連絡しやがったな!もうアカウントは返さねぇからな」ってなったら取り返しつかないから金払って解決するのもわかる 本当に誘拐犯とのやり取りみたいだ
冶金 @yakeen4510 8月6日
「これなら払えるな」程度の金額だから実際払ってしまう。だから悪質と言える。
せるりあん @kdkwshine 8月6日
圧縮新聞の人は盗人に追い銭のカスってことだな
misonico @misonico1 8月6日
大事な商売道具ならそれこそパスワード使い回しちゃダメだよね
RXF-91 @rxf_91 8月6日
盗人に追い銭払うバカがあるか!
げんじーにょ @guendhinho 8月6日
不覚にもハッカー氏かわいいと思ってしまった
Otani,Masahiro @keteru98 8月6日
でたぞでたぞ、とりあえず被害者の欠点探しするやつが… それにしても use a password manager + 2 step authentication とはなかなか良いやつ 試行回数でブロックされないのか、については使われてそうなパスワードリストを用意しておいてIDを変えて試していく、ということをしてたらブロックされないと思う。
ざの人(togetter用垢) @zairo2016 8月6日
75ドルだったらまだ安いほうだな。他のランサムウェアの被害請求額とか聞いた場合だけど(笑
想 詩拓@文芸サークル『文机』 @sou_sitaku 8月6日
リターンを減らした犯罪はリスクが低く、成功率が高いという類いの話ですね。クレジットカードでも一気に100万抜かれたら必死になるけど毎月1,000円だったらほっときそう。
もぎゃ🔌(daisuke furukawa) @mogya 8月6日
パスワードを使い回すなと言われて、pass123_twitter みたいな固定単語+URLみたいなパスワード使ってる人いません?その手だと一網打尽にやられるという実例ですからね。
denev @_denev_ 8月6日
犯罪者にカネ払うとか、最低のクズじゃん。…と思ったら、身代金たったの75ドルなの?やっす!!そりゃ払うわ。
もぎゃ🔌(daisuke furukawa) @mogya 8月6日
twitterはすでに2step authを導入済みです。公式の説明こちら https://help.twitter.com/en/managing-your-account/two-factor-authentication 簡単にいうと設定画面-ユーザー情報-セキュリティ-ログイン認証。「パスワード」や「プライバシーとセキュリティ」とは別のページなので分かりづらいけど、ちゃんとあります。
べるへる @beru2007 8月6日
なんで大切なものを金払って買い戻したらいけないのか分からない。
家ノ風 @ie_kaze 8月6日
楽して稼ぎたいってわりには、こんな向こうから来てくれたでかいチャンスを軽く逃してるのもったいなくない?
yamadataichinokiseki @yamadataichino1 8月6日
信者フィルターがすごい。ハッカーがなんだか可愛いとか言い出す馬鹿もいて正気を疑う。
ねひ@うさまらー @shimo_k 8月6日
何があっても買い戻したらダメだろ。日本人がナメられる。大事な商売道具ならパスワード使い回しとかなおさらダメだろ。
cinefuk 🌀 @cinefuk 8月6日
keteru98 逆ブルートフォース攻撃だと「ありきたりなパスワードを設定して、それを使ってるユーザ名を順番に試す」ということになるから、IDが短い @pha が先にやられたのは納得できる http://d.hatena.ne.jp/rna/20140206/p1
cinefuk 🌀 @cinefuk 8月6日
パスワードの長さはみんな気にしていると思う(webサービス各社も警告する)けど、IDの短さがセキュリティレベルを下げるという観点は、あまり気にされてなかったように思う。 dara2goron 1つのIDに対しパスワード試行回数が多いとロックされる仕組みはあるが、同じパスワードでユーザIDを切り替えていくハックbotについては、対策のしようがない。同一IPアドレス規制ではじくとしても、botnetで複数端末から試す悪党には対抗できない
想 詩拓@文芸サークル『文机』 @sou_sitaku 8月6日
beru2007 そのコメントをしている人にとっては、被害者が大切なモノを取り戻すより、犯人が得をしないことの方が重要だからです。
誤ロン @dara2goron 8月6日
cinefuk 同じパスワードで複数IDを試すというのが、正常ログインではないので、それもブロックで構わないと思います。ただのID打ち間違いレベルでは無い回数やっていると思います。
誤ロン @dara2goron 8月6日
dara2goron ブロックはムリなら、せめてCAPTCHAでも表示してイレギュラーな画面遷移をするべきだと思います。
かる @Memento_mori 8月6日
phaさんと同じツイッター歴11年の俺は2段階認証で安全なのであった。ツイッター上手ですまん。自分のIDも初期の頃は海外から羨ましがられてたなー。(特有の早口で自分語)
新しい名前が思いつきません @NewName_NoIdea 8月6日
LiongHMD ランサムウェアの事例など調べると見放題ですよ >仮想通貨が犯罪に使われている事例
かつま大佐(対象年齢10歳) @kamiomutsu 8月6日
いや、何で買い戻すことを当然視してるのか…。払ったら返してくれる保証なんかないという意味ではランサムウェアと変わらんのに、結果オーライでしかなかったものを変に肯定する意味が分からない。
セバスチャン小林(裏) @Dongpo_Jushi_x 8月6日
自称ニートのphaがあっさり身代金払ってアカウント取り戻したことについてはツッコミなし?
ぐるり @gururi 8月6日
2 step つーか2 factor?(どう違うのかわかってない
🚮 @recyclebin5385 8月7日
杜撰なパスワード管理で乗っ取りを許した時点で加害者に加担したも同じ。ギルティ
🚮 @recyclebin5385 8月7日
パスワードを使い回したという情報がなかったらまあ同情もしたけど
RXF-91 @rxf_91 8月7日
アカウントを人質に取って身代金を要求する誘拐犯に唯々諾々と身代金払ったって言えば如何に盗人に追い銭が最悪な手段か理解出来るか?このハッカーはそうやって集めた金でまた機器と回線を拡充してより広範にかつ手の込んだ手段で同じ行為を続けるんだぞ?バカじゃねえの。
チャップリン @misumi3104 8月7日
インターネットは手続きの集合で、そこに倫理も善悪もない。ハッカーは「パスワードを持つ者が権限を得る」という手続きに則って正当にアカウントを所有した。だから金銭交渉で取り戻すのも正当。 手続きの世界に盗っ人はいない。
56号 @56gojp 8月7日
パスワード使いまわしてたのが悪いとか、短いスカート履いてるから痴漢に合うんだ理論と同じじゃないの?
ティルティンティノントゥン @tiltintninontun 8月7日
被害者か被害者とは認められないかって二者択一ならば被害者だけど、被害者にもグラデーションがありますから。
ログインして広告を非表示にする
ログインして広告を非表示にする