Togetter/min.tを安心してお使い頂くためのガイドラインを公開しました。
2014年2月2日

twitter連携スパムの動作まとめ

ITジャーナリストの三上洋さんが「twitter連携スパムに引っかかるとどうなるか。」と言う疑問を解消するため、 「Mステでおっpいポロリ放送事故」のスパムに敢えて引っかかってみた顛末のログ。
124
三上洋 @mikamiyoh

写真ツイートでクリックするとアプリ連携をさせるURLを貼るアカウント。あれの目的なんだろ?

2014-02-02 11:31:30

こんな疑問を持った三上洋さん、早速テストしてみることに。

三上洋 @mikamiyoh

Twitter連携スパムの動きを確かめるために、別アカウントを使ってテスト中。

2014-02-02 13:47:30
三上洋 @mikamiyoh

間違って本アカでやらないように、注意しないとあかんなwww(Twitter連載スパム拡散問題のテスト中)

2014-02-02 13:54:22

どんな動作をしていたかと言うと

三上洋 @mikamiyoh

Twitter連携スパムのテスト途中経過:症状1:連携を押すと、国内の2ちゃん芸能まとめブログを表示。このサイトの持ち主が関与か?(まだ証拠なし)

2014-02-02 14:01:33
三上洋 @mikamiyoh

Twitter連携スパムのテスト途中経過2:症状2:連携を押すと同時に、自分のアカウントで同じスパムツイートを発信。連鎖的に広がる

2014-02-02 14:03:15
三上洋 @mikamiyoh

Twitter連携スパムのテスト途中経過3:症状3:さらに強制的に以下のアカウントをフォローする「6秒ワロス動画」「画像大喜利 IPPON」「思わず保存した画像」。ほんとひでーなw

2014-02-02 14:06:02
三上洋 @mikamiyoh

Twitter連携スパムのテスト途中経過3:スパムアカウントのフォロワー数:「6秒ワロス動画」25,365、「画像大喜利 IPPON」25,183、「思わず保存した画像」23,445。続く

2014-02-02 14:09:26
三上洋 @mikamiyoh

Twitter連携スパムのテスト途中経過4:スパムに騙された人(感染者とも言える)は、おおよそ2万人強(強制フォローさせられる騙しアカウントのフォロワー数から推定したもの)

2014-02-02 14:11:43
三上洋 @mikamiyoh

Twitter連携スパムのテスト途中経過5:スパムアカウントの開設日「思わず保存した画像」1/30、「画像大喜利 IPPON」1/26、「6秒ワロス動画」1/26。つい最近始めたスパム行為だとわかる

2014-02-02 14:19:52
三上洋 @mikamiyoh

Twitter連携スパムのテスト途中経過6:強制フォローさせるTwitterアカウント自体がつぶやくツイートにはスパム行為はない。通常の画像・映像のみのURLを貼っている。よって、このTwitterアカウントのフォロワー数を増やすのが目的の1つと推定。

2014-02-02 14:24:05
三上洋 @mikamiyoh

Twitter連携スパムのテスト途中経過7:連携直後に表示される2ちゃん芸能まとめブログは、国内のレンタルブログを利用(ライブドア、現LINE)。一般ユーザーかスパム業者開設のものと思われる。メールフォームがあるので一応問い合わせてみた

2014-02-02 14:34:56
三上洋 @mikamiyoh

Twitter連携スパムのテスト途中経過8:ちなみにスパムの発信元は、画像のような新規アカウント。目的は本アカウントのフォロワー数アップ、2ちゃんまとめサイトのPVアップの模様。 http://t.co/w7SeMfkwji

2014-02-02 14:58:04
拡大
三上洋 @mikamiyoh

Twitter連携スパムのテスト途中経過9:「画像→URL」のURLは画像に見せかけているが、実際は犯人が用意したアプリ連携のURL。このドメインは国内のXSERVERにあるが、ドメインの持ち主は不明(サーバー会社になっている)。

2014-02-02 15:17:27
三上洋 @mikamiyoh

テストはこんなところかな?何か調べて欲しいことがあればメンションください。テスト用の新規別アカウントで調査中です。なお、どこかで記事まとめて注意喚起します。

2014-02-02 14:48:57
三上洋 @mikamiyoh

どなたか、俺のツイートをtogetterかNaverまとめに、まとめてもらえませんかー。あとで対策もツイートします

2014-02-02 15:31:16

三上さんによるスパムまとめ&対処法

三上洋 @mikamiyoh

【Twitter連携スパムまとめ1/3】このスパムでの被害は約2万5千人(他にもあり)。下記のようなスパムで拡散。不正アプリを連携させ、強制ツイート・強制フォローをさせるしくみ http://t.co/k2Ueky8f6J

2014-02-02 16:57:35
拡大
三上洋 @mikamiyoh

【Twitter連携スパムまとめ2/3】スパムに添付された画像は正常だが、「画像→」の部分は偽URL。犯人が用意した不正アプリをTwitter連携させるためのURL http://t.co/1L9WzLDnSs

2014-02-02 16:58:30
拡大
三上洋 @mikamiyoh

【Twitter連携スパムまとめ3/3】対策は、PCかスマホブラウザでツイッター公式へ。「設定」「アプリ連携」で、身に覚えのないアプリの許可を取り消し。念の為にPASS変更。後で記事にまとめます http://t.co/xpu4bBmEK8

2014-02-02 16:59:29
拡大

その後、顛末をまとめた記事が発表

三上洋 @mikamiyoh

【Twitter連携スパム続報】「Mステでおっpいポロリ」のスパム、昨日15時のフォロワー数は2万5千、それが本日16時には3万5千に大幅増加。たった1日で1万人が騙されちゃってます 記事: http://t.co/PDYcAf8QKm

2014-02-03 16:40:04

いま話題のタグ

空知英秋23 一人暮らし159 文学18866 ゴルシ4 ライフハック6026 尊厳破壊1 ウマ娘37 ホラー697 ウイスキー66 マナー1188 転売ヤー131 PCR検査580 サブスク51 僕のヒーローアカデミア173 LGBT853

コメント

齊藤貴義@サイバーメガネ @miraihack 2014年2月2日
目的は分からないけど、pick-twitter.com はお名前.com で取得されている。さらにIPアドレスを逆引きするとsv534.xserver.jp が返ってくるので、仕掛け人はエックスサーバーのsv534のサーバーをレンタル契約した人。
9
yuri @syoyuri 2014年2月2日
少し前に話題になった「Plays Now」というアプリと同じ類でしょうか。参考>見た動画を“勝手に”ツイートする「Plays Now」に注意 アプリ連携のチェックを - ITmedia ニュース http://www.itmedia.co.jp/news/articles/1310/15/news101.html
3
yuri @syoyuri 2014年2月2日
こちらも参考>【注意】「あなたのツイッター歴は○○日でした」アプリを認証すると必要以上の動作権限を渡してしまう - NAVER まとめ http://matome.naver.jp/odai/2137273826314842101
4
鉄⋈アイコン変更模索なう⋈早矢斗/デレステID:994240190 @cu6gane 2014年2月2日
何が目的かは良く分からない(該当するまとめサイト誘導・PV稼ぎが主としても一時的過ぎる)けど、これを元に更なる悪用されないとも限らないんで、対策と今後安易なURLを踏まない事を心掛けてほしいモノですね。
4
yuri @syoyuri 2014年2月2日
アプリの権限には"Read only""Read and Write""Read,Write and Access direct messages"の3種類あるようで、そのうち"Read and Write"のアプリではないかと思います(また、ダイレクトメッセージを見ることや、パスワードを見ることは【許可されません】と表示されたかと思います)。
3
yuri @syoyuri 2014年2月2日
Twitter公式ページです>【アカウントの安全性を保つには】https://support.twitter.com/articles/249052-
2
yuri @syoyuri 2014年2月2日
こちらの記事には"アカウントを乗っ取られるおそれも"とありますが、それは違うのではないかと...。http://headlines.yahoo.co.jp/hl?a=20140202-00000006-it_nlab-sciただ"自分のアカウントから勝手にデマツイートを投稿"というのは困りものでしょうから、アプリ認証の際にはご注意くださいね。
2
yuri @syoyuri 2014年2月2日
本当にアカウントを乗っ取られてしまうのはこの手のフィッシング詐欺。ご注意くださいね> Twitter アカウント乗っ取り被害の裏に古典的フィッシング詐欺 http://blog.trendmicro.co.jp/archives/7085
5
ざの人 @zairo21 2014年2月3日
jeingkeien このアカを早速スパム報告させていただきました。
1
ざの人 @zairo21 2014年2月3日
アプリ連携 を見ると?結構色々な連携をしていたので、見なおす機会になった。自分のページを開く->歯車マーク->アプリ連携->使わないアプリがあれば そこの 許可を取り消す で連携を取り消せます。
0
なみへい @namihei_twit 2014年2月3日
あとは、アカウントの売り買い。フォローもリプも0な、あからさまな捨てアカじゃ誰も相手にせず見向きもされないんで、そこそこフォローがあるアカウントは金になる、的な。売れなくても、自作自演でアオリ記事ねつ造の引き金に使ったりもするのかな、と。
1
Westwind (ペーター) @denpa_westwind 2014年2月6日
もしかして、釣れた"カモ"アカのアクティビティをビッグデータ解析して、「今月のカモ場動向レポート」といった形の販売データへ加工するのかしら?
2
ふわふわごわごわ鹿熊海老 @laterio21 2014年3月28日
これと同じ犯人か分かりませんが、最近出会い系アプリの紹介ツイート、働かなくてもお金が増える系のツイートをRTさせられてるようです。私のTLでちょくちょく見ます。さらにツイートを遡ってみたら本人に気づかれにくいように後日RTを取り消してるようです。
0
なみへい @namihei_twit 2014年3月28日
パスワード盗んで、レンタルサーバ契約者の知らないところで勝手にこっそり追加している確率も微(ry miraihack
0