2014年7月5日14時頃 内閣府防災アカウント(@CAO_BOUSAI)がスパムツイートを行ったとして騒ぎになりました。ここではこのツイートについて関連情報を少し調べたのでこれをまとめます。
公式発表(お詫びツイート)
【お詫び】先ほど内閣府防災とは関係のない内容のツイートが当アカウントから流れてしまいました。大変申し訳ありませんでした。(内閣府防災TW担当)
— 内閣府防災 (@CAO_BOUSAI) 2014, 7月 5(1) スパムツイート分析
投稿されたスパムツイートを少し調べてみました。
URLをクリックすると連携アプリ認証画面が表示される
典型的なスパムアプリの流れです。
スパムツイートを投稿した連携アプリは「新着ニュース」
スパムに乗っ取られてる内閣府防災アカウント pic.twitter.com/dGPDFY7nCU
— ゴミちゃん♨i-Doll41H21,22 (@Go_mi_chan) 2014, 7月 5このつぶやきの短縮URLをクリックして認証した場合に連携するアプリ名も「新着ニュース」です。別の方が投稿したスパムツイートのURLをアカウント操作担当者がクリック、認証を行ってしまったのではないかとも考えられますが、原因については明らかにはされていません。
もし認証してしまったら
- 連携アプリで覚えのない連携アプリの認証を解除する。
- piyokangoが確認した連携アプリ名は次の通り。
- 「新着ニュース」
- 「【画像】川栄李奈が襲撃事件の傷跡を公開」
- piyokangoが確認した連携アプリ名は次の通り。
- 投稿されたスパムツイートを削除する。
- 連携アプリを放っておくと次のようなことが今後行われる可能性がある。
- 別アカウントのフォロー
- プロフィールの勝手な更新
- スパムツイートの投稿
尚、過去よく見られていたスパムアカウントの勝手なフォローは今回piyokangoの検証時には確認されませんでした。ただ、挙動は変わっていることも考えられるため、誤ってスパムアプリの認証を行ってしまった人は念のため確認をした方がよいでしょう。
画像は2014年5月17日に投稿された画像を使用した模様
Google PlusのAKB48 川栄さんの5月17日の投稿写真を流用しているようです。
余談ですがノコギリ事件は5月25日に発生しており、5月17日の写真を使用すると時系列として矛盾することからAKB川栄さんのファンならこの写真を見て引っ掛からないのではないかと思います。
(2) スパムツイートに含まれていたURL
スパムツイートに使用されていた短縮URL「jump.cx/zDH22」は「1nori3nori.com」が指定されていることが分かります。
URLを検索してみる
この「1nori3nori.com」を検索してみると色々と引っかかることが分かります。一応検索結果の掲載はここでは自粛。
「site:1nori3nori.com」で検索してみる
楽天ショップの商品を掲載するコピーサイト?のようなものが沢山検索にかかります。
このサイトはアフィリエイト目的?
このサイトに埋め込まれている「a8.net」はアフィリエイトサイトのURLの模様。
さらに他ドメインも発掘
コピーサイト?のリンクに複数の別ドメインが張られていることが分かります。
コピーサイトは次のURLを確認しています。
bujyu2.com
bujyu2.digi2.jp
www49.atpages.jp/bujyu2/
www.rakusuke.info
nanikaaruka.hisa-hide.com
karabinka.com
29kurage.info
nananora.utun.net
nananora.han-be.com
kurapika.miraiserver.com
(3) 別URL(Googleの短縮URL版)のつぶやきを確認
同じ文面で別の短縮URLが使用されているケースを確認しました。今回のスパム投稿との関連性があるかどうかは分かりません。
ディレクトリ公開状態
この「nnbbaa.sakura.ne.jp」にアクセスしてみたところ、他にも複数のスパムらしきものが用意されていることが分かります。
(5) 不正URLの報告
JUMP.CXを運営するサイトには不正URLの報告フォームがあります。このURLを使ったスパムは(検索でかかった限り)6月28日も行われており、、一週間以上も野放しの状態になっています。というわけでとりあえず報告しておきました。
更新履歴
- 2014/07/06 AM 新規作成
