Twitter歴14年の僕でも引っかかった「最新型フィッシング詐欺」の手口｜コブラ

【Twitter歴14年のアカウントが乗っ取られた話】何が起きたのか、そしてどうすれば防げたのか。こんばんは。 Twitter歴14年にして、ついにアカウントが乗っ取られてしまったおじさんです。 今回は、 「実際に何が起きたのか」 「なぜ防げなかったのか」 「どうすれば避けられたのか」 をできるだけ具体的にまとめました。 正直、恥ずかしい話ではあるんですが、 いま同じ手口で被害に遭う人が本当に増えています。 誰かの防御力アップにつながれば、という気持ちで書き残します。 ■ 1. すべての始まりは「12月4日のDM」だった発端は、普段から仕事のやり取りをしていた相手から届いたDM。 「報酬を支払うため、Twitter Adsの報酬確認ページからログインしてほしい」 送られてきたURLは、見た目が完全に“本物っぽい”。 Ads系のURLは複雑なので、違和感を覚えにくいのが厄介です。「最近のTw

[rantan89kl]

「プロでもうっかりやられるタイプのやつです」　いや、アマしかやられないだろ…………って内容だった（）

[megumin1]

最新型でもなんでもなくどこにでもある典型的なフィッシング詐欺。書いてある対策も全然だめ。むしろ有害。これだとまたフィッシング詐欺に簡単に引っかかるよ。正しい対策は「パスワードは絶対に手入力しない」です

[sho]

このパターンで一番有効なのは「パスワードマネージャーを使う」だよ。二要素認証は突破されるよ

[umaemong]

ベタな手口にベタベタに引っかかってる。この例でもそうなのだけど、"知り合い"からのDMで偽URLが送られてくるんだよ。既に乗っ取られてるから。つまり、次に標的にされるのはこの方の知り合い。気をつけましょう。

[maname]

「報酬を支払うため、Twitter Adsの報酬確認ページからログインしてほしい」絶対クリックしないタイプの文言…

[totoronoki]

今はいいけど30,40年後に判断力が落ちた時どうなるだろう？

[flirt774]

"最近のTwitterはパートナーと契約を結んでTwitter経由で報酬を支払える仕組みなんだ" 詐欺に引っかかる時は都合の良い解釈しがちで、普段気をつけてても難しい。

[rna]

サイトのドメインがx.comかtwitter.comじゃないなら信用しちゃダメ。フィッシング対策の基本。パスワードマネージャー使ってたらパスワード自動入力されないから気付くよ。UIとか普通に完コピできるもので判断しちゃダメ。

[kenzy_n]

どんどんと巧妙化していく詐欺搾取の手管にどうやって対抗していけばいいのか悩ましいところ。

[tohokuaiki]

良かれと思って書いてブコメで辛辣に叩かれるの、ホント辛いな…

[younari]

読んでも最新でも何でもない手口で困惑

[hatact]

タイトルだけで釣り、中身も釣り針しかおいてない。釣りじゃないの？　→　ただの騙されやすい良い人みたいだ。対策が的外れで､この分だと何度でも騙されるから、きついかもしれんがブコメも読んだ方が良いよ。

[filinion]

はてブの情報強者の皆さんには叩かれてるけど、私は素人なので気をつけなければと思いました（情報強者なコメントもそれはそれで参考になる）。パスワードマネージャーか…。

[tokuniimihanai]

俺なら引っかからない自信ニキ多過ぎやろ／二段階認証やドメイン目視確認では対策になってないのは確かだけど。

[atsushieno]

自分の視点では「まだtwitterを使っている程度のネットリテラシー」という評価になってしまう

[pandafire]

詐欺に引っかからない方法なんて、Xで仕事のやりとりをしない、が一番じゃないんか？

[phantast]

自分はとても優れた人間であるという自認がこういう文章を書かせるのだろうか。めちゃくちゃ古典的手法じゃん？不思議。

[rasp_40]

多要素認証なしにパスワード変更できるものなの？

[ototohato]

パスワードって手入力してる時にコピーされんじゃなかったっけ。なるべく入力しないようにしてるしバラしてる。

[hatomugicha]

これ何を使ってパスワード認証を回避というか権限を取りにいくんだっけ

[yoshi-na]

Twitter歴14年がステータスだと勘違いなんてしてるのがそもそもダメなんだよなあ〜

[chaz_21]

本物っぽいURLって何やねん、それ見ないと判断できん。てかドメイン見るのは鉄則だと思うが

[poi_nichijo]

“プロでもうっかりやられるタイプのやつ”なんのプロだよ、一般的なリテラシーあったら騙されないでしょ

[mztns]

“送られてきたURLは、見た目が完全に“本物っぽい””どんなURLだったか教えてほしい

[lenhai]

ユーザー名「mobamasuP」が「mobmaasuP」に微妙に変更されているね。ユーザーIDは567690003→https://megalodon.jp/2025-1212-1736-53/https://x.com:443/mobmaasuP 「このアカウントは一時的に制限されています」「不審な行為が確認されています」

[rgfx]

とりあえずの「同じドメイン以外では動作しない認証手段」としてパスキーなりパスワードマネージャなりが有効なのがわかる…／2FA有効にしててもどうせ偽の2FA画面が出てきてホイホイ入力して終わりなのよ

[PACIFIST]

さすがにこれにひっかかる自信ない

[kathew]

ブラウザのパスワードマネージャを使うとそもそもドメインからどのパスワードを使うか機械的に選択してくれるので、それが選択されないという時点で偽物は回避できるよ。過信は駄目だけど現状では極めて有効

[mag4n]

クレカで利用制限がかかったといってURL叩かせるとかあるね。masetercad っていうURLで気づいたけど。最近のはちゃんとSSL証明取ってるからな。名義がうんこだけど。素人は分からんよなぁ。

[nmcli]

"普段から仕事のやり取りをしていた相手から届いたDM" ってところがポイント

[fa11enprince]

どうすれば防げたのか？が間違っている。これは二要素認証があってもダメなパターン

[ffrog]

フィッシング詐欺被害の共有してくれるエントリに「ただのカモ」ってコメント付ける必要ある？？

[sukekyo]

やだよねえ。DMなんてエッチな自撮り写真で十分ですよ。

[masayoshinym]

“報酬を支払うため、Twitter”え、今年の話？

[rdlf]

普通のフィッシング詐欺でTwitter歴何にも関係なかった…

[aramaaaa]

Twitter歴って何か意味ある？

[kensukeo]

パスワードマネージャーだと登録していないURLに反応しないから便利かつ騙されにくい。

[junjun777]

ドメイン目視確認派は、ホモグラフ攻撃にも注意してね。I(アイ)とl(エル)とか、Punycodeとか。パスワードマネージャーならこの辺も防げるので、おすすめ。

[valinst]

"攻撃者の動きはすべて“自動化された手順”のようでした" ようではなく自動化されてますよ、そんなもの一件一件、手でやるわけないじゃないですか

[GamingSoboroDon]

ブコメ厳しいなぁwブログ主がアフィリエイターだからはてブはアンチ多めか