2015年1月1日、Twitter運営から実名宛てにとんだ年賀メールが届きました。

　全く覚えがありません。宛先アドレスはAndroidタブレットを利用するためだけに実名で取得したGmailアドレスであり、これはGoogleサービス以外には使用していません。もちろん、このアドレスでTwitterアカウントを取得したこともありません。唐突に凍結通知とは一体どういうことでしょう。そのIDへアクセスしてみると、0ツイートのアカウントでした。ひょっとすると凍結に伴って削除された結果かもしれませんが。

　よくよく考えてみると、12月31日にも覚えのないメールが来ていました。誰かが電話帳自動連携でもして、勝手に私のアドレスを追加したのかと思って無視していました。今になって考えてみれば、誰にも教えていないアドレスに電話帳追加も何もあったものではないですね。

　私はひとまず、アカウント不正利用の可能性を考えて、このGmailアドレスのパスワード（＝Android端末のパスワード）を変更し、次に覚えのないTwitterアカウントの凍結解除を行って、これもIDとパスワード、利用メールアドレス、そして氏名を変更しました。いやしかし携帯番号の認証を求められるとは……イエデンとして利用している古い携帯の番号で認証を行いましたよ。

　それから私は、覚えのないアカウントのアプリ連携設定を確認しました。ここで、このアカウントは12月29日にAndroid版公式アプリを認証したことがわかりました。

　普通、Android版のアプリで一度ログインするとここにこのような認証情報が出てきます。確かに私はAndroidタブレットを使用しており、別のアカウントでTwitter公式アプリを利用しましたが、繰り返しますとこのアカウントは自分で作った覚えがないのです。

　ここで当方の利用環境を示しておきます。
　Androidタブレット（Nexus 7 2013、Android 4.4.4、Twitter 5.38.1）
　Mac（MacBook Pro Late 2013、OS X 10.10 Yosemite、Safari 8.0.2）
　Windowsマシン（NEC LaVie E LE150/S2、Windows 8.1 Update、Chrome 39.0.2171.95m）

　Android端末上の公式アプリに何らかの不具合または不正な侵入が発生し、それがAndroidから使用者名とGmailアドレスを取得した上で勝手にTwitterアカウントを作成した。それを不正利用をしようとしたところをTwitter本部システムが察知してアカウント凍結を行った。

　私の推測では、上のようなことではないかと思っていますが、果たしてこんなことが起こり得るのか疑問であります。
　「連携アプリ」といいますのは、Twitterのデータを利用する、またはアカウントの操作（ツイートを見る・書く・フォローする・ダイレクトメッセージを送る……）を行うプログラムがTwitterのシステムに事前申請を行い、認証を得たものです。Twitterアカウントを操作するにはIDの他に当然パスワードが必要になりますが、IDとパスワードがわかればそのアカウントは意のままに操作することができる訳ですから、ユーザーは外部サービスにヌケヌケとパスワードを渡すような真似はしたくないわけです。そこで、Twitterを利用する外部サービスを作る際には、アカウントの操作を行うプログラム（サービス）に直接パスワードを教えるのではない認証方法を使うことになっています。プログラムはTwitterのサーバーにユーザーIDの認証を要求し、利用したいユーザーはTwitterからパスワードを求められ、Twitterは入力されたパスワードからそれがユーザー本人の希望による操作であると確認できればプログラムに許可を与える仕組みになっています（正確さを欠いた直感的説明では、プログラムに対して１度の通信専用のパスワードを発行するイメージです）。これをOAuth認証といいます。これによって、ユーザーのパスワードを外部サービスに知らせることなくアカウントの情報を利用することができるようになっています。「アプリメーカー」などでツイートの︎︎データの使用を許可する際、Twitterがパスワードと許可を求めてくるあの画面がOAuth認証のユーザー側の画面です。
　「アプリ連携」設定に表示されているアプリは、このOAuth認証によってユーザーが許可したプログラムの名前が並んでいます。そして、不正なプログラムが偽装することを防ぐため、Twitter公式以外のプログラムの名前には「Twitter」を含めることができない決まりになっています。つまり、先ほどの連携一覧にあった「Twitter for Android」はAndroid版公式アプリそのものであり、偽装された不正プログラムではないと言って良いでしょう。

　さて、Twitterアプリが先ほど述べたようななんらかの原因によって不正な動作を行ったとして、Twitterアプリがユーザーの名前やアドレスを知ることはできるのでしょうか。答えはYesです。
　Androidアプリでも、端末に保存されたデータ全てにアクセスできるような仕組みでは危険です。このような設計では、例えば電話帳の情報を盗み出したり、または重要なデータを勝手に消去したりということが仕組み上できてしまいます。そこでAndroidアプリも、その開発者がアプリを作る際にAndroidに申請を行った操作しかできないようになっています。例えばカメラのアプリであれば、当然カメラへのアクセスと、撮影したデータの読み書きのためにデータ領域へのアクセス権限を申請します。このアプリは連絡先へのアクセスを届け出なかったとすれば、たとえ隠れて電話帳を参照するプログラムを紛れ込ませたとしてもAndroidがその操作を弾き、許可した以外の動作はできません。アプリをインストールする前に聞かれる権限の許可画面では、そのアプリが何をしようとしているのか考える必要があります。ここで権限を許すのは利用者自身ですから。
　ここで、Twitterアプリが求めた権限を見てみますと、IDと連絡先のアクセス権限が含まれています。「ID」権限は、端末に保存された利用者のアカウント情報の参照と変更を意味しており、TwitterアプリはTwitterアカウントのログイン情報を端末に保存して利用するためにこの権限を要求しています。また「連絡先」権限は連絡先（電話帳）から知り合いのアカウントを見つけ出す機能の提供のために求めているのでしょう。

　「ID」権限が許されていると、端末使用者の名前とメインアカウントのGmailアドレスを取得することができます。ですから、Twitterアプリはする気になれば使用者名を得ることができることになります。
　私の場合、端末を学業目的に利用しますからGmailアドレスを実名で取得しました。よって、もしTwitterアプリが異常動作してメインGmailアカウントの情報を取ったとすれば、それには実名とGmailアドレスが含まれているでしょう。つまり、Twitterまたは第三者が特殊な手段を使って私の実名とGmailアドレスを知ったのではなく、端末に保存された情報から十分に取ることはできる情報であったのです。端末のユーザー情報に変名を登録していたなら、この一件はその名前で起こったでしょう。

　……しかし勝手にユーザー情報を取って勝手にアカウントを作り、勝手に《自動化行為》を行ったというのは完全にアヤシイですな。ここでは誰が何をしたのかまでは調べようがありませんので、折を見てTwitter公式にでも連絡してみようと思います。

　何かお心当たりでもございましたら、ゲストブックまたは kitano.denwaotoko2012 アット gmail.com にでもご連絡ください。

北の電話男　トップへ