Portal:siro

ダイレクトマーケティングブログ

しろぼっとのアカウントがスパムに乗っ取られた件

Twitter

乗っ取りというと厳密には不正確ですが、しろぼっと(@sirobot_)のアカウントから不審なフォロー・リツイートが行われておりました。
事の顛末をざっくり書き出したいと思います。

そもそもしろぼっととは

シロのBOTです(まんま)日に数回ランダムなタイミングで発言し、私のタスク管理やら何やらをします。
具体的な機能はこのブログの過去記事にありますし今回特に関係ないので省きますが、私が作成した私のためのTwitterBOTです
当然スパム機能などつけておりませんし、今後もつける予定はありません。

ざっくりとしたあらすじ

そんなしろぼっとが本日6/24の早朝に見知らぬアカウントのツイートを公式リツイートしていました。(風景写真付きのツイートで、添えられた文言は恐らくアラビア語のため解読できませんでした)
しろぼっとに公式リツイート機能は搭載しておりません。また、見るからにスパムアカウントだったため、すぐさまブラウザからしろぼっとのアカウントにログインを試みました。
パスワードは私が認識しているものと同一、メールアドレスやその他の設定も弄られた様子はありませんでした。DMの送受信形跡も無し。

ただ、物凄い数(1300以上!)の見知らぬアカウントのフォローと、数件のリツイートが……。

ちなみにしろぼっとにフォローを行う機能もありません。スパムをフォローしないようにリフォローは手動なんです。

この状況を見て、連携アプリ経由からのスパム乗っ取りと判断しました。
また、念の為にこの時点でパスワードも変更しました。

連携アプリ経由の乗っ取りとは

"勝手にRTしてしまう"スパムが流行中!「LINEの次に流行ってるチャットアプリ〜」にご用心! - NAVER まとめ
(こちらはTwitter速報の案件ですが)だいたい類似の案件と思われるので例として挙げておきます。

要するに「連携アプリを認証する」→「連携アプリがこっそりスパムアカウントをフォローする」→「スパムアカウントのツイートをこっそりリツイートして拡散」
という形のスパムです。定期的に注意とかが流れてくるアレです。
(たまに「連携アプリ=全てスパム」みたいな短絡的な人がいますが、私のブログを見るような方にそのような低リテラシーの方はいらっしゃらないと思いますので通常の連携アプリとスパム連携アプリの違いは割愛します)

ではさてどれが悪さしたのかという特定に入ろうとアプリ連携項目を見たのですが、

……おかしい、これといって不審に見えるアプリがない。*1

原因は何だ

上部画像で連携されているものは、上から、
twitcle plus(Android用のTwitterクライアント)
sirobot.php[Another](ブラウザ経由で私がしろぼっと手動ツイートするための自作アプリ)(ツイート、TL直近10件の閲覧、リプライ欄直近10件の閲覧、この3つの機能しかありません)
Seesmic(Android用のTwitterクライアント、現在は不使用)
sirobot.php(しろぼっとのBOTプログラム)(ツイート、リプライ反応、DM反応の3つの機能しかありません。先述の通り、フォロー、リツイートの機能は無し)
Meity.jp(DM代わりのメッセージ送受信サービス)
Togetter(ツイートをまとめて公開するサービス)

……露骨に「私スパムです☆ミ」って奴がいない。
しかしこの中から犯人を探すなら、Seesmicだろうと判断しました。
理由としては、

  • フォローしているスパムアカウントがかなりの割合で海外系(まれに日本のBOTや明らかにスパムではなさそうな日本人腐女子アカウントとかもありましたが稀です)
  • リツイートしていたツイートは全て英語(≒日本人をターゲットにしたスパムの可能性は低い)、そしてSeesmic以外は全て国産サービス。
  • いわゆる「ワロスBOT」など日本で有名なパクツイBOTがフォロー内にいない
  • Seesmic以外のサードパーティ製アプリはメインアカウントでも連携しているがそちらでは現状被害がない(というか仮にTogetterが犯人だったら今頃大炎上してるはずですし)
  • Seesmicは昨今すこぶる評判が悪い

[https://play.google.com/store/apps/details?id=com.seesmic&hl=ja
:title=Seesmic (Facebook, Twitter) - Google PlayAndroid アプリ]

既にアンインストールして数年が経過しているので最近は全く見ていなかったのですが、どうやら「スクロールしているだけで勝手にPlayストアに飛ばされる」などという非常に迷惑な仕様になった様子。
(ただし最終アップデート日が1年前なので、広告スクリプトの問題の可能性もあり)(その広告スクリプトを管理しているのは誰かという話になりますが)
まあSeesmic自体あそこに買収されてから公式サイト公式Twitterもあんな感じなので原因はやっぱりあそこかなあと思ったりしたりしなかったりするわけですが。


なので原因特定のためにこれだけ連携解除して、様子を見ることにしました。
ここまで散々言ってますが断定はできません。相対的にいちばん疑わしいものを選んだだけです。

これから

しばらく観察することにします。あと、スパムアカウントを少しずつスパム報告していきます。
(どうやらスパム報告できる数の上限が決まっているらしく、一気にスパム報告できないようなのです)(つらい)

広告じゃない(中身がいる)アカウントも数多く混ざっているので、恐らく、「本当にフォローさせたいアカウント」+「リアルタイム検索などでランダムに抽出した大量の無関係なアカウント」でフォローさせているのだと思います。
木の葉を隠すならなんとやら。


不幸中の幸いはリツイートしていた画像にグロ画像・犯罪系が無かったこと、フォロワーさんに不審なDMを送りつけていない(多分)こと、比較的早めに気がついた(最初のリツイートは6/21)ことでしょうか。
ヤンナルネ……というわけで皆様もお気をつけください。たまに自分のツイートとかフォローを見返すのもいいと思います。


現時点でこちらが把握していることは以上です。
最後になりますが、フォロワーの皆様にはご迷惑おかけしました。今後もしろぼっととシロをよろしくお願いします。

追記(6/28)

27日の午後9時頃にこのようなメールがTwitterから届きました。

遅ェよ

そして投稿ができなくなりましたが、パスワードを変更することでロック解除されました(既にパスワードを変更していたので再変更しなくてもいいかって思ってたらだめだった)
はあ〜これ多分原因はスパブロしまくってたからでしょうね〜というわけでゆっくりスパブロします……つか、もうスパム報告上限に達しててブロックしかできないんですが。

*1:モザイクはすみません諸事情で掛けています