お手上げドットコム

人生お手上げ気味なバフのぶろぐ。次の目標は300記事達成。

Twitter連携サービスを運営している関係で警察の方からお電話を頂いた時の話。

だいぶ前の話、私が住んでいる県とは別の県の警察の方から自身の携帯電話宛にお電話を頂いた。
「警察」がどうとかいう時点で若干センシティブな内容なので、一応、予め予防線をはっておくならば、別に悪い事をしたわけでも無く、連携サービスの提供で何か問題があったわけでも、特に後ろめたい事があるわけでもない


以下、電話での音声でのやりとりだった事・随分前(確か一昨年)の話なので一部記憶が曖昧な点がある事を理解して頂きたい。



警察の方からのお話の内容としては、「ある事件の関係者*1アカウントに対して、一つだけその方が普段利用している回線とは別のIPアドレスからアクセスがあり、それが●●さん(私)が契約しているサーバのIPアドレスだったので一応確認だけ〜」といった趣旨の問い合わせ。
で、冷静に考えれば、「私が運営しているTwitter連携サービスがユーザから認可された権限の範囲内でユーザのTwitterアカウントに対して、TwitterAPIを利用して『サービスを提供するために必要なアクセスをサーバ*2が行っている』ので、Twitter側からみたアクセス元は当然私が契約しているサーバのIPアドレスになる。」と、ただそれだけの話なのだけれど、基本小心者である私は、特に後ろめたい事が無いにも関わらず、警察の方からの電話という事で少々混乱してしまい、その電話で即答する事は出来なかった。
が、担当の方としてもそれほど重要な話ではなかったらしく、一旦電話を切った。

電話を切って、落ち着いて考えたところ、「ぁ!『アカウント』ってもしかしてTwitterアカウント?それなら〜…。」と思い当たった。
そこで、電話で担当して下さった方に再度連絡したところ、「Twitterアカウント」との事だったので、「Twitter連携のウェブサービスを運営している事」をお話し、「うちのサーバがサービスのユーザのアカウントに対してサービスの提供に必要なリクエストを行っているから、『サーバのIPアドレスからのアクセス』というのはその事ではないか」といったお話で「最終的には落ち着いた」。*3
ということで、「サービスを提供しているサーバから対象のアカウントに対するアクセスがあった」という疑問については、解決…というか説明が完了した


さて、「アカウントに対してアクセスを行ったIPアドレス」というのを警察の方がどの経路で入手したのか、Twitter社に情報提供を求めたのか、それとも対象アカウントのTwitterデータのログイン履歴等*4からなのかというのは不明ではあるのだけれど、私が契約しているサーバのIPアドレスと、私の名前・携帯番号*5等が関連づいた状態でお電話頂いたというのは間違いない事で。
別途、契約していたホスティング業者に問い合わせたら、情報提供を行った旨の回答を頂いたので、サーバのIPアドレスから、ホスティング業者へ問い合わせが行き、ホスティング業者が契約者である私の情報の提供を行ったんだろうけれど。*6


上記の件で再認識した事が3つある。

  • TwitterAPIを利用した"サービス"を提供する場合*7、認可された範囲内で「『ユーザに代わって自身のサーバがリクエストを行っている』という事をシッカリ認識して置く必要があるな〜」という事。
  • Twitter側からみれば、最終的なリクエストの発信者はサービスのサーバという事になるので、そこから向こう側の事について何かしら尋ねたい事があるのであれば、Twitterに対する最終的なリクエストの発信元であるサーバの契約者に対して問い合わせが行くのは当然。
  • 「バフ」というキャラクターは全力で匿名に徹しているキャラ*8ではあるのだけれど、国家権力の前では…(略)である事。(まぁ、前述した件のように警察の方から個別に連絡を頂くといった事なら、別に困る事はないのだけれど。)

まぁ、当たり前といえば当たり前の事だけれど、忘れがちな事。






なぜ今更、上記の件についての記事を書いているのかというと…。
最近、「行儀が悪い」を通り越して「悪質」とも言えるTwitter連携アプリをよく見かけるようになって、それらの作者は「『不特定多数のアカウントに対してリクエストを行っている』という事についてどのように考えていらっしゃるのだろう〜」とちょっと思ったから。

*1:詳細については伺ってないし、ぶっちゃけ「何かの事件の関係者」としか認識してないのだけれど。

*2:正確にはサーバに配置しているプログラムが。

*3:実際には上手く説明する事が出来ずに、更にもう一度お電話させて頂いたりしたのだけれど。(担当の方はとても親切に辛抱強く、私の拙い説明を聞いてくれた。ていうか、多分、こちらが一方的に混乱しただけで、担当の方は、ある程度わかっていらっしゃった上であくまで「確認」の目的だったのではないかと思う。最初のお電話の時点で、何か仰ってたような気もするし。)

*4:これならユーザレベルで確認出来るし、TwitterAPIでリクエストが行われた場合も「ログイン履歴」に表示される

*5:電話かかってきたのだから当然。

*6:ホスティング業者に連絡先として登録しているのは携帯電話の番号だし。

*7:別にTwitterAPIに限った話ではないけれど。

*8:「バフ」という「キャラクター」での発言を知人等に知られてしまうと、割と真剣に首を括る事を考えなくてはならないので「公に『バフ』というキャラクターが『中の人』と関連付く」事を避けるために、サービスの運営・ブログ等で、公に本名は出さない・「中の人」が特定されるような事を発さない事を徹底している。勿論、サーバの契約等の契約関連では当然本名。

Amazonのマーケットプレイスでの詐欺が多発しているようで、それについて「疑わしい店舗」を名指ししてSNSで発信している方について思う事。

Amazonでマーケットプレイスを利用した詐欺が多発しているようで。


詳細については「ねとらぼ」さんの以下の記事を参照して欲しい。

nlab.itmedia.co.jp

実際にこの手の詐欺というのは横行している模様。
なので、問題そのもの、手口等についての周知と警戒を促す事は大事だと思うので上記の記事は大肯定。


それに、上記の問題に関係しているかどうかは知らないけれど、一般的な品の名前(メーカーや型番等を指定せずにその品そのものを表現する大まかな名称)で商品検索すると「うっわ!マケプレで新品やっす…。」みたいなのを見かけるようになった。
また、その手の出品を行っている店舗の評価欄をみてみると、数年前の評価が最終だったりして「ぁ。もしかしてこういうのが怪しいのかな。」とか自分自身思う事はある。*1



さて、「ねとらぼ」さんの記事へのリンクをはったのは、あくまでマケプレ詐欺についての説明を省くためであって、以下に書くのはねとらぼさんの所の記事とは、ほぼ関係無い話。

マーケットプレイスでの詐欺の横行に対する反応にむしろ興味を惹かれる

上記の問題に関連して、SNS等で「怪しいと思われる店舗」を「名指し」した上で公に発している個人の方々について。
「あ。多分ここもそうかも!!」みたいなノリで発信している方を結構みる。*2
特に確証があるわけでも無いだろうに*3、店舗名を名指ししている方は「もし見当違いだった場合、その店舗の看板に対して泥を塗る事になる可能性」について考えた上で発していらっしゃるのかと、まずそこに興味を抱く。
更には、恐らくは確証も明確な根拠も無いであろうに「名指し」でそれを公に発信する事による「責任」というものを彼らが自覚していらっしゃるのかという点。
SNS等では、誰もが気軽に情報を発信する事が出来るので、特に意識せずに「名指し」しているのかもしれないけれど、どれだけ気軽に発信した内容であっても、それらは「残る」し、下手をすれば拡散されてしまう可能性もある。
特にSNS等では、情報の根拠・証明されているか等はあまり重視されず、「強気に断言系」で表現されているものが拡散される傾向があると私は思っているので、誤解だった場合、他者または他社に対して「大きな不利益」をもたらしそうな「名指し」での疑惑の投稿には少し慎重になった方が良いのでは無いかと思ってしまう。


二次被害的な「無慈悲すぎるとばっちり」を受けてる店舗とかありそうだよな〜…。だなんて。






と、思うのは、全く別の件で、今現在、「自サイト名指しで無根拠な疑いを公に発されたりして大変迷惑しているから」なのだろうけれど。

*1:思うことはあるけれど、じゃぁその店舗名をとりあえず名指しして警告を発してみようとは思わないし、胸の内に留めて、「自分はとりあえず避ける」という判断をする。

*2:中には、名指しされてるような店舗で、無関係そうな店舗も含まれているように思う。あくまで私個人の見解。

*3:少なくとも私にはそう見える

【重要】「ブロックされてるか調べようったー」という悪質な連携アプリに要注意。

更に追記:
アプリ名は違えど、類似の悪質な連携アプリが量産された上で「自身を拡散」しているようなので、連携アプリの連携にもう少し慎重になる事を強くおすすめします。
「使わなければ命に関わる!」みたいなTwitter連携アプリなんて存在しないと思いますし。



2017/05/09 一部追記・修正




ブロックされてるか調べようったー」という悪質な連携アプリの最終的なリダイレクト先が、私が運営するウェブサービス「ひすったー」(https://followcheck.itby.net/)になっている模様。
上記の「ブロックされてるか調べようったー」を連携してしまうと、目に見える動作としては、ただ無関係な別サイトにリダイレクトされるだけ*1で、更に良くわからない連携アプリにRead and Writeでの継続的なアクセス権を与えるだけという結果になる。
更に悪質なことに、Read and Write のアクセス権を利用して連携してしまったユーザの意図しないところで…

意外なひとからブロックされてたwww
貴方は22人からブロックされています (貴方のことをブロックしてる人一覧を見るにはこちら→ http://bit.ly/*****)

といった感じの投稿*2を行うようで、これを連携するユーザが増えれば増えただけ拡散してしまうという大変迷惑なもの。
ちなみに投稿されたツイートはアカウントの所有者に気づかれづらくするためなのか、上記のツイートについて何かしらの条件で「削除」までもが行われる模様。(連携時点でRead and Write のアクセス権を認可しているので、ツイートの削除といった操作もアカウント所有者の意図しないところで行われる。)


なお、私が運営するウェブサービス、「ひすったー」は上記の連携アプリとは無関係であり、リダイレクト先として設定されてしまっているだけ。大事な事だから繰り返すけれど「無関係」。


というわけで、「ブロックされているか調べようったー」を連携してしまった方には、連携の解除を強くおすすめしたい。(連携解除を推奨する理由については後述。)

連携解除方法

基本は、
https://mobile.twitter.com/settings/applications
へアクセスし、「ブロックされてるか調べようったー」の「アクセス権を取り消す」を押すだけ。
ただし、TwitterAPIの仕様で、アプリ作者は任意にアプリ名を変更可能なため、名称が変わっている可能性があるので…。
「意図しないツイート」等が投稿されている場合は、投稿元アプリの確認可能なクライアントで投稿元アプリを確認するか、「こちらの方法」で投稿元アプリを確認した上で、対象の連携アプリの解除を行って下さい。

そもそも、この手の悪質な連携アプリは、「最終的なリダイレクト先」「連携アプリ名」「配置するサーバ」等を変え、量産される可能性があります。(量産する前提でシステムも組まれてるようですし。理由は後述。)
よくわからない場合は、この際「使ってないもの」「覚えのないもの」等を全て連携解除してしまっても良い気がします



あと、(別に「全てが」というつもりは無いけれど)他者のツイートから直接連携画面に飛ぶような連携アプリを安易に連携しない事をお勧めします。

悪質だと考える理由

  • 最終的なリダイレクト先を無関係な第三者のサイトにしている(具体的には私のサイトへリダイレクトしている)
  • ただ第三者サイトへリダイレクトさせるというだけで、認証したユーザに対して何かしらの益のある動作をしていないよう模様。逆に、不利益をもたらす動作として、認証ユーザのタイムラインに勝手に認証URL用を投稿する模様。投稿される文面は「意外な人からブロックされてた泣きそうww」とかそんな感じらしい。*3また、ランダムか一定かは不明なものの時間経過後に削除まで行うようなので、認証ユーザが気付きづらい
  • 連携画面で自称しているウェブサイトのURLがtwitter.com(あくまで「自称」でしかなく、この部分はアプリ作者が自由に設定出来る)


更に、うちのサイト(Twitter連携サービス)へとリダイレクトしている事で、上記アプリが行う「悪さ」の疑い*4が、私のサイトでに向けられているので個人的にも大変迷惑。無関係なのに。

連携解除を推奨する理由

ブロックされてるか調べようったー」は、「Read and Write」のアクセス権を要求した上で、実際に「認証ユーザの意図しない勝手投稿」を行っている点で既に悪意があると判断出来る。
また、それを連携したままにしておくことで、継続的に

  • 意図しないツイートの投稿・削除
  • 意図しないフォローの追加・削除
  • 意図しないブロックの追加・解除

その他諸々TwitterAPIのアプリケーションタイプ Read and Write で可能となる様々な操作が認証ユーザの意図しない所で行われる可能性がある。
実際に確認したわけでもない、この手の「可能性」を前提とした話はあまり好きではないのだけれど、TwitterAPIを利用して既に悪意のある操作を行っているようだし、そもそも今回に至っては私は直接的に被害をうけていると言えなくもないので言って良いと思っている。
ぶっちゃけ、騙しのような形で連携させて、そのまま「第三者サイトにリダイレクトさせる理由」って、「その後、連携したまま放置されたアカウントのトークンの悪用」くらいしか思いつかないっていう・・・。
騙しのような形で連携させられたものを、あえて「連携解除しない理由」というのも特に無いと思うので連携解除をオススメしたい。


繰り返すけれど、上記の連携アプリについて、「何が問題なのか」というと、「ユーザの意図しないところで勝手にツイートが投稿される」といった「些細な事」ではなく、その手の行儀の悪い連携アプリに、継続的にRead and Write で権限を認可した状態となっている事が問題
上述している通り、既に明らかに行儀の悪い事をしているアプリに継続的に権限を与えてるのだから、「Read and Writeの権限の範囲内で何が行われても不思議では無い状態に置かれている」というのが最大の問題

「ブロックされてるか調べようったー」が行う具体的な「悪さ」

意外なひとからブロックされてたwww
貴方は22人からブロックされています (貴方のことをブロックしてる人一覧を見るにはこちら→ http://bit.ly/*****)

といった感じのbit.lyで短縮されたリンクを踏むと…。

f:id:otapps:20170419213216p:plain

上記のような、

http://AWSのものと思われるIPアドレス/pagename=hogehoge

といった認証用URLにリダイレクトされ、更にTwitterのアプリケーション連携画面に飛ばされる。

f:id:otapps:20170419212910p:plain

連携が完了すると…。

以下のようにコールバックし、

f:id:otapps:20170419213549p:plain

ここから更に私のサイトへリダイレクトされる模様。
で、自身の認証用URL「http://AWSのものと思われるIPアドレス/pagename=hogehoge 」を時間差で認証したユーザのタイムラインへ投稿し、削除までを行う模様。

さて、「短期的な問題」と「悪さ」については上記の通りなのだけれど…。
「連携解除を推奨する理由」でも挙げている通り、「騙し」のような形で連携させた上で上記のような操作を行っている時点で悪意を感じるし、今後、上記のような投稿だけでなく、「連携を取り消していない認証ユーザのアカウントで更に好き勝手やる可能性がある」という点が「ブロックされてるか調べようったー」の最大の問題点と言える。

この手の悪質な連携アプリは増え続ける可能性があるという事とその対策について

認証後に認証したユーザを、無関係な第三者のウェブサイトにリダイレクトし、リダイレクト先のサイトを隠れ蓑とするような悪質な連携アプリは既にいくつか存在するようです。
また、「ツイート本文」「連携アプリ名」「リダイレクト先」等は、その手のアプリの作者がいくらでも変更可能なものなので、今後も別の「連携アプリ名」「ツイート本文」「リダイレクト先」で大量に出てくる可能性があります。*5

対策としては、

  • 『よくわからない連携アプリ』をほいほいと連携しない事
  • (別に全てがとは言いませんが)他者のツイートから直接連携画面に飛ぶような連携アプリを連携しない事
  • 連携アプリの見直し・整理を定期的に行う事( ブラウザからTwitterにログインした状態で https://mobile.twitter.com/settings/applications

といった事に各々が気をつける他無い。

ていうか、以前にも…。

うちのサイトへ直接では無いけれど、間接的に迷惑だった連携アプリがコールバックしているURLのパラメータとして pagename=hogehoge をとっている事を確認しているのだけれど、手口といい、「前回のと作者同一じゃね?」とか思っている。(その時のサーバはAWSではなく別の国内のホスティング業者だったけれど。)
同一か否かに関係なく、個人的に迷惑度半端無い事、一般的にもたぶん迷惑行為であると思うので、意味があるかどうかはわからないけれど、AWSのabuseへ連絡しとこうと思う。

最後に、大事な事なのでもう一度だけ。

大事な事なので3度めだけれど、私が運営しているウェブサービス、「ひすったー」(https://followcheck.itby.net/)は無関係であり、ただ「ブロックされてるか調べようったー」の最終的なリダイレクト先として設定(隠れ蓑扱い?)されてしまっているだけです。
これ、一番重要な事なのですが、どうも誤解していらっしゃる方が多数いらっしゃるようで、ちょっと二次的な風評被害が酷いです…。


私が運営しているウェブサービス( https://followcheck.itby.net/ )は、フォロー・被フォロー・ブロック等の推移の「履歴」を管理する普通のウェブサービスです。
また、「ひすったー」が要求するアクセス権はRead only なので、ユーザのタイムラインに勝手にツイートを投稿するといった事はあり得ません。(TwitterAPIの仕様上)

蛇足ですが…。

この問題について確認後、割とすぐなので4月下旬頃から、最終的なリダイレクト先と"されてしまっている"、「ひすったー」( https://followcheck.itby.net/ )の上部で…。

f:id:otapps:20170516175049p:plain

といった警告と共にこの記事へのリンクをはっていたりします。
リダイレクトされてきた方の目に入りやすいように〜と思っての事ですが、それさえ読んで頂けない方にどのように注意を促せば良いのかと少々悩んでしまいます。

追記

悪質な連携アプリが、何故、無関係な第三者サイトにリダイレクトするのかという件について個人的な考えを書いてみました。
以下の記事です。
「ブロックされてるか調べようったー」という悪質な連携アプリが、私が運営するウェブサービス「ひすったー」へリダイレクトしている理由について考えてみる。 | バフたーん

もっと追記

更に、「結果としてアクセス増えて得しているんじゃないか?」といったご意見を頂いたので、マジレスしてみます。
「結果としてアクセス増えて得してるんじゃないの?」という意見に「ないわー。」と返せる理由。


もっともっと追記

悪質な連携アプリの存在自体は「問題」だと考えていますし、それによる迷惑を被っているのも事実ですが…
悪質なTwitter連携アプリによる勝手ツイート等について「乗っ取り」と表現する事をオーバーに感じる理由。 | バフたーん
とかおもったりします。

*1:具体的には私のサイトにリダイレクトされている

*2:投稿内容は上記とは限らないけれど。

*3:認証URLは確認できたけれど、ツイート内容は保存する前に…(略)なので「らしい」としか言えない。

*4:主に投稿元アプリを確認出来ないクライアントを使っている方から。

*5:認証URLも「http://AWSのものと思われるIPアドレス/pagename=hogehoge 」といった感じで末尾のパラメータで複数のアプリを切り替える事が出来るように設計されているようだし。