最近、ネトゲで忙しくて情報を一切追って居なかったので、これがいつからなのかは知らないけれど…。
Twitterから以下のようなメールが届くようになっている。
このメールを「特別なもの」と判断し、やれ「乗っ取り」だ、、やれ「パスワードが〜」とか騒いでる方をたまに見かける。
それもとてもタチが悪い事に「うちが運営しているウェブサービスと関連づけた上で」。
うちに無根拠な疑いを向け、それを無責任に公に発されるのは大変迷惑*1なので、一応これについて触れておこうと思う。
上記のようなメールが送信される条件については確認していない*2けれど…。
普段モバイル端末からアプリ等を利用してTwitterを利用している方が、サードパーティのTwitter連携サービスを連携する際に、「ブラウザからTwitterへログイン」する事によって、上記のようなメールを受信し慌てている方が多い模様。
で、そのメールが届く時間と、、サービスのアクセスを認可*3したタイミングが一致する事で「乗っ取られた!」「パスワードを抜かれた!」だのといった、大げさに騒ぐ方を生んでいる感じらしい。
そして、メールに「中途半端に位置情報が記されている事」によって、更に誤解を深める事にもなってる様子。
具体的には…。自分自身でTwitterへログインしているにも関わらず場所のあたりで「そんな場所からログインしていない!」って感じで混乱を加速させている様子。
さて。「場所」の部分の注釈に注目してほしい。
場所はログイン時のIPアドレスに基づいて推定されています。
IPアドレスから「ある程度の地域」ってのはデータベース化された情報に基づく判定だと思うのだけれど、正確性はとても微妙。(現に、スクリーンショットでは「大阪 大阪市 北区」と判定しているけれど、大阪からなんてアクセスしていない。)
特にモバイルネットワークを利用時、そのグローバルIPアドレスから「地域」を判定するのは輪をかけて正確性が…(以下略)って感じなので、Twitterが地域を誤判定している可能性が高い。
「心当たりの無い『地域』からのログイン通知が届いていても、『乗っ取りだ!』『パスワードが〜』なんて大騒ぎする前に、一旦深呼吸して自身の行動を顧みてみる事も必要かもしれないね!」ってことで。
もちろん、ログイン通知メールが本当に不正なログインに気づく切っ掛けになる可能性も無くはないので「ソレを軽視しても良いと言う気は無い」のだけれど。
少なくとも、良くわからないままに、無関係な特定のサービス名指しで「○○にやられた!」とか無責任に公に発信するのは見ず知らずの第三者に多大な迷惑をかける可能性があるので避けた方が良いと思うのです。
ちなみに連携サービスの話をするなら、そもそもTwitterAPIを利用しているサービスやアプリをOAuthで認可するだけならば、idやパスワードでの認証を求められる事があっても、実際に認証を行っているのはTwitterであって、連携サービス(アプリ)の作者にパスワードが伝わる事は無いし、認証を試みているのは「自分自身」であって、連携アプリがどうとかは関係無い。