情報科学屋さんを目指す人のメモ

方法・手順・解説を書き残すブログ。私と同じことを繰り返さずに済むように。

【Peing(ペイング)質問箱に脆弱性】Twitter連携を解除する方法(メンテナンスで質問箱にログインできず退会できない問題)

Peing (34) Twitter (292)

2019年1月28日現在、脆弱性への対応のため、人気の匿名質問サービス「Peing(ペイング)-質問箱(質問箱)」が緊急のメンテナンスを実施しています(当初理由がはっきりしないメンテナンスでしたが、その後のPeing公式TwitterによるTweetから、脆弱性に対応していることが分かりました)

それと同時に現在、質問箱のTwitter連携を外すユーザーが急増しています。そこで今回は、そのTwitter連係の解除方法を紹介します。

現在緊急メンテナンスが行われているため、質問箱のアカウントを削除することができませんが、Twitterの設定側から連携を外すことで、Twitter側のデータを質問箱側から利用されないようにすることが可能です。

※現在質問箱について、「質問箱に脆弱性がある」「質問箱の公式アカウントが乗っ取られた」という噂が広まっています。またさらにそこから「質問箱は危険なの?」「トークンが漏れていたって本当?」などの疑問を持つユーザーも増えています。現時点で噂が大きく広まる原因になったと思われる「質問箱公式Twitterアカウントが乗っ取られた際のツイート」の存在を確認することはできないため(削除済みとのこと)、それが事実であるのかなどは判断が付かない状態です。しかしさすがに大きく広まってしまっているため、今後公式から何らかの発表があるものと思われます。→その後運営公式Twitterより、確かに問題が発生していること(脆弱性の存在)がアナウンスされました(記事中に紹介を追記しました)。

関連:Twitterが乗っ取られていないか確認する方法

質問箱が緊急メンテナンスを実施中

現在、質問箱が緊急のメンテナンスを実施しています。

表示されている日付や日時(「実施時間 2018/12/10 01:10 - 10:00」)は、以前のメンテナンス内容であり、メンテナンス中に切り替えを行った際、その部分が以前のまま残っていたものと思われます。

メンテナンスについては、質問箱公式Twitterアカウントからもアナウンスが行われています:

しかし、噂されている「脆弱性」や「乗っ取り」についての言及はありません。

ただし、地震情報等を速報することで有名な人気のTwitterアカウントからも「脆弱性」や「Twitterアカウントの乗っ取り」「ダイレクトメッセージを不正に取得される恐れ(※Peingにこの権限はないため誤りと思われる)」などに関する次のツイートが行われ、Twitter連係を解除するユーザーが続出しています:

追記:訂正ツイートが行われました。同時に、「非公開ツイートを不正に取得される恐れ」への言及が行われました:

追記:運営が「第三者が勝手にツイートできてしまう」という脆弱性があったことを認めるツイートを行いました:

Peing質問箱から退会できない状態

Peing質問箱を使うのをやめたい場合、質問箱にログインしてから「退会」を行い、その後でTwitter連携を解除する、という方法もあります。そしてそちらのほうが一般的です。

しかし現在メンテナンスを実施しており質問箱にログインすることもできず、退会するができない状態となっています。そのため、「退会操作は行わずに連係を解除する」という操作が「退会」操作の代わりとなります(質問箱からの自動ツイートなどを停止するなどの効果はあるものの、退会とは異なるため、アカウントは残る状態)。

Twitter連携を解除する方法

Twitter連係を解除するには、Twitterアプリで、画面左上の自分のアイコンをタップしてから、「設定とプライバシー」をタップしてください:

そうしたら、「アカウント」を開きます

続けて今度は「アプリとセッション」を開きます

そうしたら、現在Twitterアカウントと連携しているアプリ・サービスの一覧が表示されるので、その中にある「Peing」をタップしてください(※質問箱の正式名称は「Peing - 質問箱」なのですが、ここでは「Peing」とだけ表示されており「質問箱」という表記がなく、見落としやすいので注意してください)

そうしたら、「アクセス権を取り消す」という赤い文字をタップしてください。

これで「読み取りと書き込み」という質問箱に与えたTwitterアカウントへのアクセス権限を取り消し、それ以降、質問箱からTwitterのデータにアクセスしたり、Twitterを操作(自動Tweetをしたり)することができなくなります。

よくある質問:「小6からずっと不登校だったんだが質問あるか?」が増えていたのもこれと関係あるの?ハッキングされてたの?

今回の脆弱性に関連して、以前から繰り返し質問箱に投稿されていた「小6からずっと不登校だったんだが質問あるか?」という質問が乗っ取りと関連しているのではないか、との声が聞かれます。

質問箱は、運営が用意したものと思われる質問が一斉に投稿されることで多くのユーザーが同じ質問に答える、といったことが発生していましたが、こちらは質問箱の使い方を誤っているような投稿(質問箱の持ち主への質問の形式で投稿するのが普通で、質問あるか?と聞くのはおかしい)であったり、同じ質問が繰り返し投稿されるなど、おかしな点があります。この点からは、質問箱利用者に対するスパム・botではないかと思われます。

とはいうものの、今回の脆弱性はTwitterアカウントへのアクセスができてしまう、というもので、質問箱への質問の投稿とは無関係(脆弱性関係なく行うことができる行為)であり、一体誰がどういう理由・操作でこの「小6不登校」のメッセージを登校したのかは不明ですが、脆弱性との関連はまずないものと思われます。

よくある質問:復旧予定は?メンテナンスの終了予定時刻は?

Twitterでも「明朝までに復旧見込み」と案内していました。1月29日0時50分時点でPeingのトップページは更新されており、メンテナンスの終了時は「午前8時」に設定されています:

関連:Twitterへの不正アクセス・不正ログインを調べる方法

関連:質問箱に似たアプリ・サービスまとめ

コメント(0)

新しいコメントを投稿