朝、起きるとツイッターのタイムラインがスパムだらけ。フォロワー数10未満で広告っぽい文を連投してるアカウントが10個以上。犯人の狙いはなんだろ。面倒だったけど10アカウントほどスパム報告。 pic.twitter.com/Meq1wqOH7s
— Nobuyuki Hayashi林信行 (@nobi) 2015, 2月 6
先日リスト型ハッキングに関して言及した【進化するスパムアカウントとリスト型攻撃と】や【Facebookから波及かそれとも...ツイッター上で勝手に広告スパムツイートをしてしまう事案急増中!?】に絡んだ話で、先日タイムライン上で類似事案によるスパムが大量発生したようなので、状況を簡単におさらいし、対応策をもまとめてみる。
上記ではアカウント保有者=スパム発信の意図を持つ者と判断してスパム報告をしたようだれど、状況を精査するとどうも微妙に違うらしい。指定されたアカウントや、当方あてに偶然きた類似ツイートを確認すると......
これは恐らく垢作ったものの放置していたやつがリスト型で乗っ取られたタイプですね。まともにツイートの最終日付が2011年6月。 pic.twitter.com/yEzsqvHF7a
— 不破雷蔵(懐中時計) (@Fuwarin) 2015, 2月 7
という感じ。該当する広告スパムツイート「以前の」ツイートはいずれも相当時間が開いており、現在は使われている気配が無い。要は今件事案の場合はたまたま、昔アカウントを創ったけれど何らかの理由で利用を中断、放棄して、そのまま放置状態になっているアカウントが悪用されているというもの。最近使っていないのならば、そのアカウントでアクセスして悪質アプリを連携させて自動ツイートってことはありえないので、リスト型アカウントハッキングのえじきにあったと見るのが正解。放置したぐらいだからツイッターへの興味関心はあまり無く、パスワード・IDも他のサービスと同じ組合せを使ったことは容易に想像が出来る。
つまり、
広告ツイートをメンションスタイルで行うスパムをしてくるアカウントって ①最初からそれ目的の垢 ②悪質アプリ連携で乗っ取られた垢 ③リスト型ハッキングで乗っ取られた垢 のいずれかっぽい。それぞれ微妙に対応が異なるので要注意かしら。
— 不破雷蔵(懐中時計) (@Fuwarin) 2015, 2月 7
の3パターンが想像できるけれど、①は容易に削除されてしまうので、②と③がメイン。で、今回出てきたのは③のパターン。基本的な対処としては「サービス毎に別々のIDとパスの組み合わせ」を使うのはもちろん、変なアプリは絶対に連携許諾しない、変なリンクは絶対に踏まない。そして万一自分のアカウントに火の粉がふりかかったら、つまりアカウントが乗っ取られたら
自分自身の垢が乗っ取られるタイプは②か③。アプリの連携切ってパスワード変えて、その上で自分のツイート再確認して変なのを削除すれば大体OK、のはず。ただ携帯経由でのアクセスの場合、パスを変更してもログイン状態が維持されるという指摘があるのよね。
— 不破雷蔵(懐中時計) (@Fuwarin) 2015, 2月 7
......なんだけど、携帯周りでOpenIDを用いてログインしている関係で、本来の持ち主がパスワードを変更しても、乗っ取った側が携帯端末上からならログイン状態は維持されるリスクが生じる。「パスワード変更してもスパムされ続けちゃう」という不安。
@Fuwarin 「携帯経由でのアクセスの場合、パスを変更してもログイン状態が維持される」のは、twitterの場合web以外は全部アプリ連携(OAuth)で認証しているからでは。
— Yasushi Abe (@yasushia) 2015, 2月 7@Fuwarin アプリに保存されているのはパスワードではなくアプリ毎のトークンなので危険はないと思いますが、どのへんがトホホなんです?
— Yasushi Abe (@yasushia) 2015, 2月 7@yasushia ログイン状態が維持されるということは、パスを変えても第三者がアクセスされる環境が維持されるということではないのですか?
— 不破雷蔵(懐中時計) (@Fuwarin) 2015, 2月 7@yasushia つまり、アプリ連携型の場合はアプリ連携を切ればそれで終了ですが、リスト型の場合は取得されたIDとパスでログインしてますよね。その状態が携帯経由で成されていた場合、本来の持ち主がパスを変更しても、盗取した側のログイン状態が維持され続ければ、その状態で
— 不破雷蔵(懐中時計) (@Fuwarin) 2015, 2月 7@yasushia 広告ツイートが成されるのかも......という。
— 不破雷蔵(懐中時計) (@Fuwarin) 2015, 2月 7@yasushia 例えるなら、玄関の鍵は変えたけれど、すでに賊が家の中に入っているので、やりたい放題をやられつづけるのかもな、ということです。OAuth周りの理解で間違っているのかもしれませんが。
— 不破雷蔵(懐中時計) (@Fuwarin) 2015, 2月 7@Fuwarin ああ、なるほど。そうですね。パスワードが漏れたかどうか、はOAuthによって判断しにくくなっているかもしれません。その場合は2要素認証とかログイン通知で防ぐことになるでしょうか。
— Yasushi Abe (@yasushia) 2015, 2月 7@Fuwarin そういう機能によってパスワードが守られている場合は、アプリ連携以外では実際にtweet等できませんから連携を解除するだけでいいはず。公式アプリとして他から連携することはできないので手作業で広告twすることになると思いますがそんな手間かける可能性は低そうw
— Yasushi Abe (@yasushia) 2015, 2月 7@yasushia 連携タイプのアプリでは無く、手動操作のような挙動をして入力する汎用系アプリもあるので、想定としてはゼロではないかと(^^;; リスト型の場合、アプリ連携も兼ねているか、単独かの確認が出来ないのが惜しまれます。アプリ連携ならご指摘通り連携を切ればOKですが......
— 不破雷蔵(懐中時計) (@Fuwarin) 2015, 2月 7@Fuwarin ゼロではないですね。一応tweetのclient情報を確認することで判断できるんですが、webからは消えちゃったんですよね。なので現状OAuthでもパスワード変更を告知するしかないのかなという。連携も特定アプリじゃなく全て解除とするべきでしょうか。大変だけどw
— Yasushi Abe (@yasushia) 2015, 2月 7@yasushia まぁ、打てる範囲で手を打つというのが最善のようですね。パス変更と怪しげアプリ解除、そして該当ツイートを削除。機会と時間があれば、今件のやり取りもあわせ、絡めようと思います。改めて、ありがとうございましたm(__)m
— 不破雷蔵(懐中時計) (@Fuwarin) 2015, 2月 7
......ということで、アクセスが携帯電話経由で継続されるリスクはゼロではないけれど、自動的にツイートを行うためにはやっぱり連携アプリが必要になるので、アプリ連携を切れば基本的にはOK。先行記事【毒をもって毒を制す、なのかな? パクツイBOTスレイヤーが完結していた件について】で登場したiMacrosのようなブラウザ動作記録再現ツールなどを駆使すれば、この辺りは疑似手動化で色々とされちゃいそうな気もするけれど、多分に時間も手間もかかる。そしてリスト型アカウントハッキングをするような類の人達は、効率を第一にするので、手間と時間がかかるようなことはしない。悪い意味でのロングテール利用(だからこそのリスト型アカウントハッキングなのだな)。
で、困ったことにスマホなどの携帯電話では原則アプリの連携確認や解除が出来ない。携帯ではその類をチェックすることは想定されていないんだな。そこでスマホなどではパソコン版のツイッターの公式ページを開く必要がある。①連携アプリを確認して身に覚えがないのは全部削除
②パスワードを即変更
③自分のツイートを確認して広告ツイートを全削除
スマホなどの携帯電話で利用していたら
・iOS端末の場合は端末側におけるアプリ連携もチェックする
そして幸いにもそのような事案に遭遇していなくても
②変なURLはクリックしない、変なアプリ連携は拒否する
(たとえ信頼できるアカウントのツイートでも)
③変なツイートは公式リツイートしない(自分がツイートしたのと同じで、拡散に手を貸したことになる)
④定期的に連携アプリの状態を確認する
⑤捨てアカ、放置アカの整理をする
などはガッツリするべきだろう。
執筆:
コメントする