アカウント名が登録メールアドレスに

• 利用者が意図せずにTwitterの名前欄がメールアドレスに変更される事象が起きていた
• 潜在的な脅威として、表示されたメールアドレスはTwitterで使用されるログインID（登録メールアドレス）の可能性があり、なりすましやフィッシング詐欺のターゲットにされる恐れがある。

3月末頃よりTwitter名前欄が登録メールアドレスに勝手に変更されたとする投稿が相次いでおり、影響を受けたらしき方を国内でも複数確認しています🔥
自身の環境で再現できていませんがプロフィール等の変更で生じたとする報告もあります。意図しない表示となっていないかご注意ください。 #注意喚起 pic.twitter.com/RizbNq67oM

— piyokango (@piyokango) 2020年4月5日

誰が影響を受ける？

piyokangoが確認した限り、以下の環境でTwitterを利用している場合、今回の事象が発生する可能性がある。

• Twitterの利用ブラウザが最新バージョンではないChrome（Firefox、Edgeでは確認できず）
• ブラウザ設定で「自動入力」の「パスワードを保存できるようにする」が有効
• TwitterのログインID、パスワードをブラウザに保存している、かつユーザー名が登録メールアドレス*2

最新版Chromeで事象発生せず

• 手元の環境では2020年4月7日リリースの「81.0.4044.92」でこの事象の発生はしなくなった。

何故起きていたのか

• Twitterのプロフィール編集を行う際、名前欄で保存されていたユーザー名の自動入力を誤って行ってしまい、それに気づかず編集したため。
• 当初Chromeのみプロフィール編集の名前欄で自動入力が何故動作するのかわからなかったが、Chromeの問題だった模様。

ブラウザ自動入力の挙動検証

• 今回のTwitterで起きた問題とは結果的に関係はなかった(4/14更新)ものの、自動入力の挙動検証を行ってみた。
• Chromeの場合、同一formタグにおいて、type属性にpasswordが指定されたinputタグの1個前のinputタグに自動的にログインIDが入力される。*3
• 例えば次のようなテキスト入力が2つ並んだformにおいて、自動入力を行うと1つ前のinputタグ（name="2"のタグ）に保存していたログインIDが自動入力される。

<form >
<input type="text" name="1"/>
<input type="text" name="2"/>
<input type="password"/>
<input type="text" name="3"/>
<input type="submit"/>
</form>

• ブラウザごとに若干挙動が異なったため検証した結果は以下の通り。

更新履歴

• 2020年4月8日 AM 新規作成
• 2020年4月14日 AM 最新版Chromeで事象発生がなくなったことを追記