ライブ配信中｢アカウント乗っ取り｣驚きの手口 ツイッターのパスワードリセット機能を悪用

同様の手口で、アカウントが乗っ取られる被害も起きている。

2022年3月、ゲーム実況者の画面にSMS認証を表示させ、他人のアカウントを乗っ取ったとして、不正アクセス禁止法違反の疑いで無職男性（18歳）と男子高校生（16歳）が書類送検された。無職男性は乗っ取った約30個のアカウントで約20万円、男子高校生は約50個のアカウントを乗っ取り10〜20万円を得ていた。

このとき悪用されたのが、Twitterのパスワードリセット機能だ。Twitterのパスワードを忘れた場合、ユーザー名を入力すると、電話番号を設定している場合「末尾が○○の携帯電話にコードを送信」が選択できる。Twitterのユーザー名は公開されており、誰でも把握できる。これを入力することでSMS認証によるパスワードリセット、再設定が可能となり、ゲーム配信画面で確認すればアカウントを乗っ取ることができるのだ。

そのうえで、連携するゲームのアカウントも乗っ取ったというわけだ。アカウントさえ乗っ取れば、アカウント情報から電話番号も確認できてしまう。

なお、SMS認証が必要なサービスには、LINEやTwitter、メルカリやラクマなどのフリマアプリ、ポイントサイトやQRコード決済アプリなどがある。

Twitterなどで「SMS認証代行します」というアカウントを見かけるが、SMS認証は販売されていることがある。このように不正に作成されたアカウントは、マネーロンダリングなどに使われることが知られている。

「通知オフ」の徹底を、対策済みアプリも

対策として、ライブ配信時に通知が出ないように設定すると安心だ。このためには、いくつかの方法がある。

通知をオフにしようと思っても、忘れてしまうことがある。そこでiPhoneユーザー（iOS 15以降）の場合は、「集中モード」を活用しよう。オートメーションで特定アプリを起動したときには自動的に通知を出さないようにできる。設定→集中モードでアプリを選んで設定してほしい。

通知が出ないようにされているアプリもある。ゲーム実況などで使われるDiscordには配信モードがあり、OBS（配信ソフト）の起動中は自動的に通知が出ないようにできるのだ。

Mirrativでは、配信設定の中に「プッシュ通知隠し」がある。プッシュ通知が飛んできたときには、自動的に画面共有がオフになる仕組みだ。出てしまった通知は、「通知ぼかし機能」で読めなくするなどの対策が施されている。Android端末は「プッシュ通知隠し」をオンにしたうえで、サイレントモードなどを利用するといいだろう。