【乗っ取り対策】X(旧Twitter)の権限について

X（旧Twitter）と連携するアプリ（サイトも含む）の中には、アカウントを乗っ取ることができるとも言えるほどの強力な権限を要求するものが散見されます。

ここでは各権限についての解説と連携しているアプリの確認方法、連携の解除方法を解説していきます。

権限とは

「権限」とは、そのアプリがどの情報にアクセスし、どんな操作を行えるかを定めたものです。ユーザーはそのアプリに「権限」を許可をするかどうかを必ず「確認」されます。

以下がすべての権限を要求するアプリの例です（これは筆者が作成しました）

このリストを見たことがある方は多いと思いますが、実際に「内容をきちんと確認する方は少ない」というのが筆者の認識です。

Xがユーザーに要求できる権限一覧と解説

このアプリが参照できる内容

• あなたが表示できるすべての投稿（非公開アカウントの投稿を含む）です。
  • 非公開を含むアカウントにおいて、すべての投稿がそのアプリより参照が可能です。非公開アカウントの方は注意が必要です。
• あなたが作成したかメンバーになっているリスト、そのリストのメンバー、そのリストのフォロワー（非公開リストを含む）
  • アプリはあなたの作ったリスト（非公開リストも含む）、あなたがメンバーになっている公開リストのメンバーとフォロワーを参照することができます。非公開リストの内容を知られたくない方は注意が必要です。
• あなたが表示できるすべてのアカウント（非公開アカウントを含む）
  • アプリは「あなたが表示できるすべてのアカウント（非公開アカウントを含む）」の「ユーザーID、ユーザー名、アイコン、フォロー数、フォロワー数」を参照することができます。この権限は必ず要求されます。
• すべてのダイレクトメッセージ
  • アプリはあなたのダイレクトメッセージをすべて参照することができます。ダイレクトメッセージの内容を見られたくない方は注意が必要です。
• あなたがいいねした投稿とあなたが表示できるいいねです。
  • アプリはあなたが「いいね」した投稿を参照することができます。「あなたが表示できるいいね」というのは、あなたが閲覧できる他人のいいね、という意味ですが、現在、Xでは他人のいいね、は見れない仕様に変更されています。これは、権限の説明が修正されていないか、またはまだ、他人のいいね、を読み取る機能が残っている可能性があります。
• あなたをフォローしているアカウントとあなたがフォローしているアカウント
  • アプリはあなたがフォローしているアカウントおよびフォロワーのアカウントを参照できます。これは非公開アカウントであっても同様です。

このアプリが実行できる内容

• あなたの代わりにリストを作成したり、管理したりする。
  • アプリがリストを作成・編集・削除、ユーザーの追加・削除、リストの公開・非公開の変更が行えるようになります。リストを操作されたくない方は注意が必要です。
• アクセス権を取り消すまでアカウントにアクセスできます。
  • 通常、アクセス権には有効期限があります。しかし、この権限を許可するとアクセス権を取り消すまでアプリは永久にあなたのアカウントにアクセスすることできます。そのアプリが信用できるかどうか確認したほうがいいでしょう。
• あなたの代わりに投稿したり、再投稿したりする。
  • アプリが自由にポスト、リポスト、ポストの削除ができるようになります。悪質なアプリは、スパム投稿をおこない、あなたの貴重なポストを削除し、あなたをフォローしているユーザーに多大なる損害を与える可能性があります。自動的なポスト機能が必要でなければ許可しないほうがいいでしょう。
• あなたの代わりに画像や動画などのメディアをアップロードする。
  • アプリが自由に画像や動画をアップロードできるようになります。Xの規約違反となる画像や動画がアップロードされる可能性があります。メディアをアップロードされたくない方は注意が必要です。
• あなたの代わりに投稿をいいねしたり、いいねを取り消したりする。
  • アプリが他人のポストに「いいね」をしたり、あなたがした「いいね」を取り消せるようになります。あなた好みでないポストに「いいね」をして、あなたのアカウントの印象を変えたり、あなたの趣味や関心事を分析される可能性があります。「いいね」を操作されたくない方は注意が必要です。
• 投稿への返信を非表示/非表示解除します。
  • Xの新機能として、自分の「ポストへの返信を非表示する/非表示を解除する」という機能があります。これを行うと自分のポストへの特定の返信を自分と返信者以外から見えづらくすることができます。第三者が非表示のポストをみるには「非表示の解除」をメニューから行う必要があります。この権限をもつアプリはこうした表示/非表示をコントロールし、意図しない返信欄を作成する可能性があります。返信の表示/非表示を操作されたくない方は注意が必要です。
• 他のアカウントを自動的にフォロー、フォロー解除します。
  • アプリが自由に他のアカウントをフォロー/フォロー解除を行うことができるようになります。フォロー/フォロー解除をされたくない方は注意が必要です。
• あなたの代わりにダイレクトメッセージを送信および管理する。たとえば、次のような処理です。グループ会話を作成および管理するメッセージを削除したり、グループ会話から退出したりするメッセージに絵文字でリアクションする
  • アプリが自由にダイレクトメッセージの送信・削除・リアクションを行うことできるようになります。また、グループ会話の作成・削除、グループ会話からの退出ができるようになります。このような操作をされたくない方は注意が必要です。

連携しているアプリの確認方法

1. メニューから「設定とプライバシー」を開く

2. 「セキュリティとアカウントアクセス」を開く

3. 「アプリとセッション」を開く

4. 「連携しているアプリ」を開くと連携しているアプリ一覧が見れます

連携しているアプリの解除方法

1. 連携しているアプリの確認方法で開いた連携アプリ一覧から連携を解除したいアプリを選択する

2. 「アプリの許可を取り消す」を選択する

おわりに

権限一覧と解説を見てどう思われたでしょうか？アプリができることが非常に多く「このアプリが参照できる内容」ではプライバシーに関する懸念があり、「このアプリが実行できる内容」はアカウント乗っ取りができるレベルになっています。

そのアプリが要求する権限を許可するのはユーザー自身であり、内容を確認せずに安易に許可を与えることが如何に危険なことか、おわかりいただけたかと思います。

最近は様々な詐欺やウイルス、マルウェアなどの被害が増大しており、その手口は巧妙化しています。

自分の身は自分で守る必要があります。日頃からセキュリティを意識し、Xなどのツールを安全に使っていきましょう。