現在、突然「Twitterログインリンク」というメールが届くケースが急増しています。この原因について調査したところ、何者かがTwitterアカウントへログインを試み、とあるTwitterの機能を悪用して、登録メールアドレスの情報を取得している可能性が高いと考えられることがわかりました。この手法を使用して収集したメールアドレスリストに対し、今後集中的にTwitterアカウントの乗っ取りを目的としたフィッシングメールが送信される可能性などが考えられます。この件について仕組みを紹介するので、注意し、必要であれば対策を行ってください。 目次 1. 届くメール2. メールが届く原因2.1. ログインに失敗する2.2. 1クリックログイン用のリンクを送信する2.3. メールアドレスの一部を取得3. そもそも@以降がバレるとやばい人も！4. 注意したい悪用のシナリオ4.1. メールアドレスの一部を取得4

このブログの記事がGunosyに掲載されたことがきっかけで、Gunosyユーザーの本名フルネームと思われる文字列が、このブログのサーバーログに大量に記録されていることに気が付きました。Gunosyのサービスの特徴から、（非公開設定で使っているGunosyユーザーであっても）その利用者の興味関心に関する情報の一部が、外部サイトの管理者に漏れているとも考えられます。そこで今回は、その仕組みと、それを悪用するプロセスの例について考えてみたので、紹介します。 今回紹介する問題は、以前このブログで指摘し、すぐに修正された非公開アカウントの情報が漏れる問題（Gunosy経由で記事を読むとTwitterアカウントやFacebookアカウントが推測可能な情報がサイト側に提供される仕組みについて）と類似の問題です。前回の指摘で少々改善されていたものの、結局同じようなリスクが発生しているとわかりました。 ただ