読者です 読者をやめる 読者になる 読者になる

最近Twitterで流行ってるスパム業者の手口

日常系のツイートばかりをしている複数の友人が、最近立て続けに怪しげなリツイートをしていた。こういうものだ。

f:id:kotobaproject:20141010114055p:plain

これは業者によるスパムで、手法自体は古典的なのだが、最近また猛威を振るっている。以下、解説と注意喚起をする。

業者の手法

業者の手法を簡単に説明すると、下記の通り。

  1. 「Twitterアプリ」にユーザを登録させる
  2. ユーザのツイート権限を奪う*1
  3. 奪ったツイート権限で、スパムを拡散する

極めて簡単ですね。

この流れで一番難しいのは1の「Twitterアプリ」にユーザを登録させるという箇所だが、最近のバイラルメディア*2の勃興に伴い、この部分の心理的な障壁が下がっているのがスパム流行の原因になっていると思われる。

どういうことか。以下のツイートを見て欲しい(くれぐれも見るだけで、URLを踏んだり、アプリ登録してはいけません)。

上記のような気を引く釣りツイートで、自サイトのURLに誘導する。これはバイラルメディアがよくやってる釣り手法。
で、そのURLに飛ぶと、以下のような画面が出てくる。

f:id:kotobaproject:20141010114745p:plain

見たことがある人も多いと思う。これが「「Twitterアプリ」にユーザを登録させる」画面だ。赤枠で囲った部分を注視して欲しい。業者に渡す権限の中に「ツイートする」というものが含まれていますね。

ユーザは記事の続きが気になるので「連携アプリを認証」というボタンを押して、続きを見ようとする。この時点でもうアウト。ボタンを押した瞬間に、事態は2の「業者にツイート権限を奪われる」という段階へ進行する。後は業者が好き勝手に、権限を奪ったユーザのタイムラインにツイートを投稿することができるようになる。

これは文字通り、なんでも投稿できる。今回のようにスパムをリツイートして拡散することもできるし、「今から○○小学校で女の子を30人殺します」とかも投稿できるのだ。知らぬ間に家に警察が来る羽目になりかねない。ツイート権限を奪われるとは、それだけ危険なことなのですね。

防衛策

  1. 基本中の基本としては、怪しいアプリ登録をしない。特に記事を読ませるという理由だけでアプリ登録を促すサイトは基本的に悪用を目論んでいると考えたほうが良いので、そういう怪しげなものは絶対に登録しない。
  2. どうしてもアプリ登録をする必要がある場合は、業者に与える権限をきちんと確認する。特にツイート権限を与える場合は、相手が信用に足るものかを要確認。

アプリ登録をしてしまった人は……

もう既に怪しげな業者にツイート権限を奪われている場合は、以下を実行(PC版)。

ヘッダにある自分のサムネイルをクリックし「設定」をクリック。
f:id:kotobaproject:20141010115707p:plain

サイドバーの「アプリ連携」をクリック。
f:id:kotobaproject:20141010120047p:plain

該当アプリの「許可を取り消す」をクリック。ついでに「報告する」というリンクが出てくるので、必要に応じて報告。*3
f:id:kotobaproject:20141010120051p:plain

スマホにも同様の機能はあるはずなので、適宜実行してくださいませ。

*1:厳密に言うと「奪われ」るわけではなく、権限を与えるというのが正確のだが、リテラシーの低い方への注意喚起のために強い言葉を使うのをお許し下さい

*2:パクったコンテンツを大量に並べる糞サイト

*3:画像ではAsk.fmを抹消してますが、これは例でありAsk.fmはスパムではありません