アカウントのセキュリティについて
ご利用のアカウントを保護するため、以下のヒントを活用することをおすすめします。
- 推測されにくいパスワードを使いましょう。また、同じパスワードを他のウェブサイトで使い回さないでください。
- 2要素認証を使いましょう。
- パスワードリセットのリンクやコードのリクエストでは、メールアドレスと電話番号の入力を必須とするよう設定しましょう。
- 怪しいリンクに気をつけましょう。ログイン情報を入力する前に、そのページがX.comであることを必ず確認してください。
- サードパーティーサイトにユーザー名とパスワードを入力しないでください。特に、「フォロワー数を増やす」「副収入が得られる」とうたうサイトや本人認証を行うサイトには注意しましょう。
- ブラウザを含むソフトウェアを常に最新のバージョンにアップグレードし、最新のウイルス対策ソフトウェアをインストールしましょう。
- あなたのアカウントが乗っ取られていないかどうかチェックしましょう。
推測されにくいパスワードの使用
Xのアカウントには、推測されづらい独自のパスワードを設定しましょう。Xのアカウントに関連付けられているメールアドレスのパスワードも同様にしてください。
すべきこと:
- パスワードの長さは10文字以上にしましょう。パスワードが長いほど安全です。
- アルファベットの大文字と小文字、数字、記号を組み合わせましょう。
- アクセスするウェブサイトごとに違うパスワードを使いましょう。
- パスワードは安全な場所に保管しましょう。すべてのログイン情報を安全に保管するため、パスワード管理ソフトウェアを使うことをおすすめします。
すべきでないこと:
- 電話番号や誕生日などの個人情報をパスワードに使用しないでください。
- 「password」や「iloveyou」など、辞書に載っている一般的な言葉をパスワードに使わないでください。
- 「abcd1234」などの連続する文字列や「qwerty」などのキーボード上で連続する文字列をパスワードに使わないでください。
- 複数のウェブサイトで同じパスワードを使い回さないでください。Xアカウントのパスワードは、Xだけに使いましょう。
さらに、アカウント設定で [パスワードリセットの保護] をオンにしておくこともできます。このチェックボックスをオンにしておくと、パスワードを忘れてパスワードリセットのリンクや確認コードを送信する際に、メールアドレスか電話番号の入力が必要になります。アカウントにメールアドレスと電話番号の両方を登録している場合は、メールアドレス、電話番号の順に入力するよう求められます。
- メインメニューに移動します
- [設定とプライバシー] をタップします
- [アカウント] をタップします
- [セキュリティ] をタップします
- [パスワードリセットの保護] をオンにします
- アプリの設定を開きます
- [アカウント] をタップします
- [セキュリティ] をタップします
- [パスワードリセットの保護] をオンにします
2要素認証を使う
2要素認証を使うと、Xアカウントのセキュリティを強化できます。2要素認証では、パスワードだけでなく他の要素でも認証を行うため、Xアカウントへの不正ログインを二重に防止できます。2要素認証を有効にすると、Xにログインするにはパスワードに加えて、スマートフォン(またはタブレット)か、またはセキュリティキーが必要になります。
2要素認証の詳細については、こちらの記事をご覧ください。
アクセス先がtwitter.comであることを確認する
フィッシングとは、Xのユーザー名、メールアドレス、電話番号やパスワードをだまし取る行為です。多くの場合、目的はそのアカウントからスパムを送信することです。よくある手口としてリンクから偽のログインページに誘導するものが挙げられます。Xのパスワード入力を求めるメッセージが表示されたら、ブラウザのアドレスバーにtwitter.comと表示されているかどうかを確認してください。また、受け取ったダイレクトメッセージに怪しいリンクが含まれている場合は、たとえ友人からのメッセージであったとしてもリンクを開かないことをおすすめします。
フィッシングウェブサイトは、たいていの場合Xのログインページに似せてありますが実際は違うウェブサイトです。Xのドメインには必ずhttps://twitter.com/がついています。たとえば、Xのログインページは以下のようになります。
Xのログインページかどうか確信が持てない場合は、直接twitter.comに移動し、認証情報を入力してください。フィッシングの被害にあったと思われる場合はすぐにパスワードを変更してください。アカウントが乗っ取られた場合のその他の対策については、こちらをご覧ください。
メールを使ったフィッシングについては、こちらからXを装った偽メールについてのヘルプをご覧ください。
Xがパスワードを尋ねることはありません
Xがメール、ダイレクトメッセージ、返信でパスワードを尋ねることは一切ありません。
何かをダウンロードしたり、X以外のウェブサイトにサインインしたりするように要求することもありません。Xからのお知らせと称するメールの添付ファイルを開いたり、指示に沿ってソフトウェアをインストールしたりしないでください。そのメールは偽物です。
アカウントの乗っ取りやハッキングが起こっていると考えられる場合、Xはアカウントが悪用されないようパスワードをリセットすることがあります。この場合、twitter.comのパスワードのリセットリンクをアカウントの登録メールアドレスに送ります。
パスワードを忘れた場合は、このリンクからパスワードをリセットできます。
新規および不審なログインのお知らせ
不審なログインが検出された場合や、新しい端末から初めてXアカウントにログインした場合には、Xアプリ内にプッシュ通知が送られるか、アカウントのセキュリティ強化のためメールで通知が送られます。X for iOS、X for Android、X.com、モバイルサイトのいずれかで新しいログインが発生した場合にのみ、ログインの通知メールが送信されます。
これらの通知によって、その端末からログインしたのが自分自身かどうかを確認できます。心当たりのないログインがあった場合は、通知の手順に沿ってアカウントを保護します。まず、Xのパスワードをすぐに変更してください。通知に記載されている場所はXにアクセスするために使ったIPアドレスのおおよその場所であり、実際の場所とは異なる場合があります。
注記: 匿名ブラウザやCookieがオフになっているブラウザからXアカウントにログインすると、毎回通知が届きます。
メールアドレスの更新通知
Xアカウントに登録されているメールアドレスが変更されると、アカウントで前に使っていたメールアドレスにメール通知が送信されます。アカウントが乗っ取られた場合は、メール通知を確認することでアカウントを取り戻す手順を始められます。
X上のリンクの確認
X利用者の多くは、ツイートで共有しやすくするため、bit.lyやTinyURLなどのリンク短縮を使って短縮したリンクをツイートしています。ただしリンク短縮では転送先のドメインがわかりにくく、どこに誘導されるか判断しづらくなることがあります。
ChromeやFirefoxなどの一部のブラウザには、リンクをクリックせずに拡張URLを確認できる無料プラグインがあります。
日頃からリンクをクリックするときは注意が必要です。移動先のページがXのログインページによく似ている場合でも、ユーザー名とパスワードを入力しないでください。その代わりにX.comに移動して、Xのホームページから直接ログインしましょう。
パソコン、ブラウザ、ウイルス対策は常に最新に
ブラウザとオペレーティングシステムは、最新のバージョンと修正プログラム(多くの場合、特定のセキュリティ脅威に対応するためリリースされます)で常に最新の状態にしておきましょう。パソコンを定期的にスキャンし、ウイルス、スパイウェア、アドウェアが入り込んでいないことを確認しましょう。
公共のパソコンを利用している場合は、終わったら必ずXからログアウトしましょう。
サードパーティーアプリケーションの選択は慎重に
外部の開発者がXプラットフォーム上で作成したサードパーティーアプリケーションが多数あり、Xアカウントと連携して使用できます。ただし、サードパーティーアプリケーションには、十分に注意したうえでアカウントへのアクセスを許可してください。
サードパーティーアプリケーションにアカウントへのアクセスを許可する場合は、必ずXのOAuthを使うことをおすすめします。OAuthは安全な接続方法であり、サードパーティーアプリケーションにXのユーザー名とパスワードを入力する必要がありません。アプリケーションやウェブサイトからユーザー名とパスワードの入力を要求された場合は、特に注意してください。OAuthを使ってサードパーティーアプリケーションにアカウントへのアクセスを許可する場合に、ユーザー名とパスワードの入力は必要ありません。ユーザー名とパスワードを他人に教えるとアカウントをその人に完全にコントロールされることになり、アカウントにアクセスできなくなったりアカウントが凍結されたりする可能性もあります。サードパーティアプリケーションとの連携の設定と取り消しについては、こちらをご覧ください。
アカウントへのアクセスを許可したサードパーティーアプリケーションについては、定期的に確認することをおすすめします。アカウント設定の [アプリ連携] タブで、覚えのないアプリケーションや、なりすましを行うアプリケーションへのアクセス許可を取り消すことができます。