お手上げドットコム

人生お手上げ気味なバフのぶろぐ。次の目標は300記事達成。

【重要】「[裏技ったー] ブロられてる人がわかる唯一の方法 」というアプリケーション名の悪質なTwitter連携アプリに要注意。

わざわざ【重要】なんてタイトルに入れるのなんて初めてなのだけれど、自分自身、間接的に被害をうけていると言えなくもないので。

先日から、「ブロックされている人数」がどうだとか、そういうツイートをユーザの意図しない形で行うTwitter連携アプリが猛威をふるっている。
2017/02/15 22時 現時点での連携アプリ名は


[裏技ったー] ブロられてる人がわかる唯一の方法

※ただし、アプリケーション名は任意に変更可能なものなので、あくまで今現時点でのもの。


該当アプリを連携許可後の最終的な飛び先はころころ変わるようだけれど、今現時点で、私が運営しているサービス「ひすったー」を紹介してくれている第三者のブログに飛ぶ模様
(現時点での最終的な飛び先はhttp://twitter-kiwami.com/hisutta-tukaikata-983。ただ最終的な飛び先となっているブログ主も無関係だと思う。)

で、その関係で、ユーザの意図しない投稿を行っている連携アプリとしてうちのサービスに対して疑いが向いているようなのだけれど…。
この件について私が運営しているウェブサービス「ひすったー」( https://followcheck.itby.net/ )は一切関係無い。繰り返すけれど「無関係」。*1

一応「[裏技ったー] ブロられてる人がわかる唯一の方法 」の手口について解説してみようと思う。

「[裏技ったー] ブロられてる人がわかる唯一の方法 」の手口

アプリケーションを認可済みのユーザのタイムラインに宣伝ツイートを投稿する

具体的には以下のような類の文面。

もう寝なきゃいけないのに同級生にブロックされてたのショックすぎて寝れない、、 昨日見たブロックの数だけにするんだった、、、 もう一回調べてみるけど、、、一緒だろうなぁ、、
http://(bit.lyで短縮されたURL)


上記以外にも、ツイートされる文面は数パターン有る模様

ツイート中のリンクをクリックすると、以下のようなアプリケーションの連携画面。

f:id:otapps:20170215222423p:plain


ここでアプリケーションを連携してしまうと…。
アプリとは無関係と思われるウェブサイトにリダイレクト(転送)される模様。
連携直後はリダイレクトされるだけで何も起きない。

その後、該当アプリを連携済みのアカウントのタイムラインに上記のような宣伝ツイートを投稿する。
うっかり連携する人が多ければ多いほど拡散されるという仕組みらしい。



Twitter連携アプリのアプリ名は、可動中でも開発者が任意に変更可能なものなので、あくまで今現時点では「[裏技ったー] ブロられてる人がわかる唯一の方法」だというだけで、今後別の連携アプリ名に変更等される可能性があるので、対策としては「良くわからないものをほいほいと連携しない!」コレに尽きる。


そもそも、連携(認証)させる手段が騙しのような感じで悪質で信用ならないと考えるし、その行儀の悪いアプリがRead and Write 以上の権限を要求している以上、今後、意図しない操作が行われないとも限らないので、既に連携してしまって、「意図しないツイートが投稿されてしまっている…」という方は、投稿元アプリを確認し、該当アプリの連携を解除する事を強くおすすめしたい

連携アプリの解除方法は以下を参考に…。
【更新】Twitter連携アプリの連携解除方法。(PC・モバイル 両対応) - お手上げドットコム



投稿アプリ名を確認出来ないクライアントを利用中の方は、以下を参考に投稿アプリ名を確認すると良い。
意図しない広告ツイートやリツイートなどを行っているTwitter連携アプリを特定する方法。 - お手上げドットコム

「[裏技ったー] ブロられてる人がわかる唯一の方法 」が悪質だと考える理由

アプリケーションを連携しても、無関係と思われるブログ記事にリダイレクトされるだけ
また、無関係と思われるサイトを最終的な飛び先(リダイレクト先)にしているので、無関係な第三者に「勝手投稿」の疑いが向きがち
少なくとも、間接的に私に疑惑や迷惑がかかりそうな現時点での飛び先は…

f:id:otapps:20151016134225p:plain








「[裏技ったー] ブロられてる人がわかる唯一の方法」の挙動について

リンククリック時

bit.lyで短縮されたURLを踏んだ後、以下のURLにリダイレクトされる。

f:id:otapps:20170215223218p:plain
f:id:otapps:20170215223230p:plain

連携時の挙動

f:id:otapps:20170215223305p:plain
へとコールバックされ、そこから更に無関係なサイトにリダイレクトされてしまう模様。(アプリ開発者のウェブサイトを経由している以上、最終的なリダイレクト先はいくらでも変更可能と思われる。)


とりあえず…。

コールバック先が国内某大手ホスティングサービスのIPアドレスである事から、上記のアプリの作者はそのホスティングサービスを利用していると思われるので、「迷惑行為」*2としてホスティング会社に連絡してみようと思う。ダメ元で。

*1:この記事投稿時点での最終的な飛び先の関係で、妙な疑いを向けられて大変迷惑している。

*2:センセーショナルな煽り文句で連携させ、連携してもただリダイレクトさせるだけ、そのアカウント所有者の意図しないツイートを勝手投稿 という時点で一般的にも十分「迷惑」だと考えるし。