自分がTwitterスパムの発信元になっていたですよ
いつの間にやら送ってました
日曜の朝、仮面ライダーWを見つつ、夜間にTwitterにDM(メール)を数通いただいて(DM自体がめずらしい)、自分のアカウントからスパムDMを発信していることを知らされる。その内の1通に、それがどんな種類のスパムで、どう対処すれば良いのかというITmediaの記事URLが記載されていたので、ひとまず自分の状況を理解しました。
TwitterでスパムDM出回る フォロワーに自動でDM送りつけ – ITmedia News
対処法としては、Twitterの自分のアカウントの「設定」>>「Connections」(自分のブラウザからのアクセスでは英語表記だけど「このユーザーに対する操作」と日本語表示される場合もあるみたい)で許可してしまったスパム発信元サービスを拒否し、送りつけてしまったスパムDMを自分の送信履歴から削除すればひとまず治まるらしいとのことで、仮面ライダー見つつ処理して、ひと息つく。
送信履歴を見ると、朝8時の段階で「7時間前」にスパムは送信されていたらしいので、たぶん週末の午前1時頃にドカッといっちゃったらしい。その数は数えていないけれど延々と削除を続けたような気がするので(この辺Twitterのユーザーインターフェイスは野暮ったい)100通近くあったんだろうか。状況がわからないままお詫びDMを流してスパムの二乗になるのもまずいので、TLにお詫びつぶやきを流す。
どうして引っかかっちゃったかと言うと
Twitter名だから確証はないものの、どうやら以前交流のあった方らしいアカウントから英文DMが来て、怪しさ満点とは思いつつ記載されているURLを踏んで進む。Twitter APIについてのアラートも「許可」で進行(ほんとはここでよく読む、考える、をしなくちゃいかんのです><)。そして自分のアカウントが乗っ取られました。(実際は「乗っ取り」ではなく提供されている仕組みを巧みに利用しているだけ、ですが)
Twitter歴結構長いんですが、Twitter自体の便利さに惚れ込んでいる(iPhoneにしてからはなおさら)、その周辺サービスの充実っぷりにワクワク、というちょっとした躁状態が続いていて、実に簡単に「引っかかっちゃった」のでした。
余談ながらちょっと悔しいのは、件のスパムは今年の8月初旬に話題になったもので、下記の記事も目にして斜め読みしていながら、その内容は頭の中に残っておらずスルーしていたことです。1ヶ月半遅れで騙されるとか、まぁ自分のITリテラシーの低さに絶望(笑)
誠 Biz.ID:なぜ誠 Biz.ID公式Twitterアカウントがスパムの踏み台にされたのか
「TinyURL系」と「OAuth系」、2種類のTwitterスパム
以前から話題になっていたTwitterスパムは、短縮URLを踏ませて、サイトを誘導していくタイプだったと思います。
Twitterのつぶやきスパム、今度はダイエット薬を宣伝中 – ITmedia エンタープライズ
怪しい“つぶやき”やメールに注意:Twitter人気でスパムやフィッシング詐欺も増加中 – ITmedia エンタープライズ
言わば「TinyURL系」スパム。これについては、自分が使っているTwitterクライアント「Tweetie」ではExpand URLが表示されるというワンクッションが入るので、あまり心配していませんでした。が、今回は「OAuth」という仕組みを使った新手のID乗っ取りなんだそう。
OAuthってなんじゃらほい
自分は技術的に深い知識はないので、ざっとネットで得た範囲の知識です。「なるほどなー」と思ったので、メモ的に記載。
●OAuthとはAPIのアクセス権をやりとりするプロトコル。
●Twitter周辺サービスはOAuthを使ってTwitterにアクセス、そのアカウントに対してTwitter連動サービスを提供。
●Twitterのアカウントとパスワードが知られて「乗っ取られて」しまうわけではない。しかしそのアカウントのほとんどの権限を信頼感に基づいて渡してしまうことに等しい。
●OAuth自体はWebのマッシュアップサービスにとって便利な仕組み。
●しかしこのOAuthという仕組みが悪用されてしまうとアカウントの「なりすまし」「乗っ取り」になってしまう。
●設定解除は先に記した方法で簡単に可能。
「OAuth」とは 日本のユーザー襲った“Twitterスパム”の正体 (1/2) – ITmedia News
OAuthを悪用したTwitter DMスパムが登場 – まちゅダイアリー(2009-08-01)
MobsterWorldのTwitter上での宣伝に見るOAuthの課題 – Nothing ventured, nothing gained.
IDとパスワード、渡しちゃってるサービスもたくさん!?
ところでこのOAuthは認証するという手順を踏んで先に進むわけですが、Twitter周辺サービスにはそのままTwitter IDとパスワードを求めてくるところもありますよね。実はこっちの方が危うさでは勝っているはず。Twitter的Webサイトデザインって、なんか力が抜けていて悪さはしないだろう、と勝ってに思い込んでしまうのも危険なのかもしれません(笑) 連休中にちょっと洗い出しをしてみよう。
で、思ったことがふたつ
周回遅れの詐欺に引っかかったのが悔しいなーと思いつつ、ざっと自分とTwitterを昼間考えていたんですが、そこで感じたのは、「ただのひとりごと」ってその切り口/料理方法を変えるだけでいろんな方向に広がっていくのね、ということ。今更ながらって感じもしますが。OAuthという仕組みについて読んでて、「あー、なるほどこれが『マッシュアップ』か!」みたいな。単純なものの周りに多くの単純なサービスがくっついていくことで、有機的で巨大なサービスが生まれるわけですな。なんか読んでて体感的にわかった気がする。
それと、今回、自分のアカウントの不審な挙動はそれを知らせてくれる人がいない限り気がつかなかった、ということ。ひとりは割と頻繁に@をやり合う方でしたが、詳細な情報を送ってくれた方はその存在は知っていてもやりとは初めて。Twitterは言わば「通りすがり」のコミュニケーションで、繋がりとしては「薄くて細い」わけで不審人物は切ればそれで済むわけです。そんな中「お前さんの挙動が少しおかしいので是正すべし」という意見をさっと投げかけられるのは、「他人と繋がっている感」を意識させられるちょっとハッとさせられる心地よい体験でした。
※この記事が技術的に正しい、という確証はないので、検索するなり、記載URLで理解を深めるなり、その辺よしなに。
最近のコメント