こんにちは、りゅうです。
Twitterの「2段階認証(ログインリクエスト認証)」機能はご存じですか?
最近は様々なウェブサービスでセキュリティ強化のためにメールアドレスや携帯番号による二段階認証機能を備えていますが、ツイッターの場合はセキュリティ強化のためといって、何も考えず設定してはいけません。
これ、設定を誤ってしまうと簡単に身バレします。今回はTwitterの二段階認証を設定した場合の挙動と対策についてまとめました。
こうなると身バレします
結論から言うと、
- 他者がTwitterに電話番号を含む「アドレス帳」を登録しており、
- 自分が「電話番号の照合と通知を許可する」オンにしていて、
- 自分がログインリクエスト認証用に他者が登録している電話番号を登録した場合
に、他者あてに自分のユーザー名(ぼくの場合「りゅう」)が通知されます。
とにもかくにも「電話番号の照合と通知を許可する」をオフに
Twitterの設定ではデフォルトで「メールアドレスの照合と通知を許可する」と「電話番号の照合と通知を許可する」はオンになっています。
Twitter登録時にこの手の設定をすべてオフにしていたつもりでも、アプリのバージョンアップや複数アカウントがある場合、機種変更時により設定が変わっている可能性があります。
自分のメールアドレス、特に電話番号を知られている知人などにTwitterアカウントを知られたくない場合は絶対にオフにしておきましょう。
Twitterやっていることはこうやって相手に通知されます
実際に通知された場合の挙動をスクリーンショットしました。こんな感じで、電話番号をTwitter社に送信している人には通知されます。
実際には、上記の①〜③の条件をすべて満たしても「すぐ」には通知されません。
実は協力を仰いで数人にこの挙動をチェックして貰ったのですが、おおよそ設定してから9~12分(つまり10分程度)で相手に通知がいくようです。
相手に通知されたくないのに、セキュリティ強化のために電話番号を登録した場合でも10分以内に電話番号通知の設定をオフにすれば一応、相手に通知はいかないと思われます。
でも10分しか猶予はないので、何も知らないと悲しい結末を迎えることになりかねません。
「友達を探す」にも表示される
運良くスマートフォンアプリによる通知を免れたとしても、「友達を探す」機能にはばっちり表示されます。
恐らくウェブ版の「おすすめユーザー」にも表示されているはずです。
問題点
この挙動の最大の問題点は、
「セキュリティを強化しようと、わざわざSMS受信可能な電話番号を二段階認証を利用するためにTwitter社に提供したのに、本人の知らない間に電話番号を知っている身内にアカウントを晒してしまう」ことにあります。
https://twitter.com/ryunoq/status/751670126395609088
https://twitter.com/ryunoq/status/751670556945059840
まとめ
Twitter界隈には楽しい人がいっぱいいます。ブログ界隈よりもアクティブユーザーの数が多いですからね。
ただしそれは匿名性が担保されているから面白い発言をする人が多いわけで、身バレするとなってしまうととたんにトーンダウンしてしまいそうです。
Twitter社もアクティブユーザーを増やしたいでしょうから、あの手この手でユーザーを獲得しようとしています。なのでデフォルトで登録情報による検索を可とするなどしてユーザー同士のつながりを強化したい方策はわからなくもないです。
しかし、これでTwitterの舞台から突然去ってしまう人もいるかと思うと残念だなーとは思います。何かの参考になればと思います。