お手上げドットコム

人生お手上げ気味なバフのぶろぐ。次の目標は300記事達成。

【重要】「ブロックされてるか調べようったー」という悪質な連携アプリに要注意。

更に追記:
アプリ名は違えど、類似の悪質な連携アプリが量産された上で「自身を拡散」しているようなので、連携アプリの連携にもう少し慎重になる事を強くおすすめします。
「使わなければ命に関わる!」みたいなTwitter連携アプリなんて存在しないと思いますし。



2017/05/09 一部追記・修正




ブロックされてるか調べようったー」という悪質な連携アプリの最終的なリダイレクト先が、私が運営するウェブサービス「ひすったー」(https://followcheck.itby.net/)になっている模様。
上記の「ブロックされてるか調べようったー」を連携してしまうと、目に見える動作としては、ただ無関係な別サイトにリダイレクトされるだけ*1で、更に良くわからない連携アプリにRead and Writeでの継続的なアクセス権を与えるだけという結果になる。
更に悪質なことに、Read and Write のアクセス権を利用して連携してしまったユーザの意図しないところで…

意外なひとからブロックされてたwww
貴方は22人からブロックされています (貴方のことをブロックしてる人一覧を見るにはこちら→ http://bit.ly/*****)

といった感じの投稿*2を行うようで、これを連携するユーザが増えれば増えただけ拡散してしまうという大変迷惑なもの。
ちなみに投稿されたツイートはアカウントの所有者に気づかれづらくするためなのか、上記のツイートについて何かしらの条件で「削除」までもが行われる模様。(連携時点でRead and Write のアクセス権を認可しているので、ツイートの削除といった操作もアカウント所有者の意図しないところで行われる。)


なお、私が運営するウェブサービス、「ひすったー」は上記の連携アプリとは無関係であり、リダイレクト先として設定されてしまっているだけ。大事な事だから繰り返すけれど「無関係」。


というわけで、「ブロックされているか調べようったー」を連携してしまった方には、連携の解除を強くおすすめしたい。(連携解除を推奨する理由については後述。)

連携解除方法

基本は、
https://mobile.twitter.com/settings/applications
へアクセスし、「ブロックされてるか調べようったー」の「アクセス権を取り消す」を押すだけ。
ただし、TwitterAPIの仕様で、アプリ作者は任意にアプリ名を変更可能なため、名称が変わっている可能性があるので…。
「意図しないツイート」等が投稿されている場合は、投稿元アプリの確認可能なクライアントで投稿元アプリを確認するか、「こちらの方法」で投稿元アプリを確認した上で、対象の連携アプリの解除を行って下さい。

そもそも、この手の悪質な連携アプリは、「最終的なリダイレクト先」「連携アプリ名」「配置するサーバ」等を変え、量産される可能性があります。(量産する前提でシステムも組まれてるようですし。理由は後述。)
よくわからない場合は、この際「使ってないもの」「覚えのないもの」等を全て連携解除してしまっても良い気がします



あと、(別に「全てが」というつもりは無いけれど)他者のツイートから直接連携画面に飛ぶような連携アプリを安易に連携しない事をお勧めします。

悪質だと考える理由

  • 最終的なリダイレクト先を無関係な第三者のサイトにしている(具体的には私のサイトへリダイレクトしている)
  • ただ第三者サイトへリダイレクトさせるというだけで、認証したユーザに対して何かしらの益のある動作をしていないよう模様。逆に、不利益をもたらす動作として、認証ユーザのタイムラインに勝手に認証URL用を投稿する模様。投稿される文面は「意外な人からブロックされてた泣きそうww」とかそんな感じらしい。*3また、ランダムか一定かは不明なものの時間経過後に削除まで行うようなので、認証ユーザが気付きづらい
  • 連携画面で自称しているウェブサイトのURLがtwitter.com(あくまで「自称」でしかなく、この部分はアプリ作者が自由に設定出来る)


更に、うちのサイト(Twitter連携サービス)へとリダイレクトしている事で、上記アプリが行う「悪さ」の疑い*4が、私のサイトでに向けられているので個人的にも大変迷惑。無関係なのに。

連携解除を推奨する理由

ブロックされてるか調べようったー」は、「Read and Write」のアクセス権を要求した上で、実際に「認証ユーザの意図しない勝手投稿」を行っている点で既に悪意があると判断出来る。
また、それを連携したままにしておくことで、継続的に

  • 意図しないツイートの投稿・削除
  • 意図しないフォローの追加・削除
  • 意図しないブロックの追加・解除

その他諸々TwitterAPIのアプリケーションタイプ Read and Write で可能となる様々な操作が認証ユーザの意図しない所で行われる可能性がある。
実際に確認したわけでもない、この手の「可能性」を前提とした話はあまり好きではないのだけれど、TwitterAPIを利用して既に悪意のある操作を行っているようだし、そもそも今回に至っては私は直接的に被害をうけていると言えなくもないので言って良いと思っている。
ぶっちゃけ、騙しのような形で連携させて、そのまま「第三者サイトにリダイレクトさせる理由」って、「その後、連携したまま放置されたアカウントのトークンの悪用」くらいしか思いつかないっていう・・・。
騙しのような形で連携させられたものを、あえて「連携解除しない理由」というのも特に無いと思うので連携解除をオススメしたい。


繰り返すけれど、上記の連携アプリについて、「何が問題なのか」というと、「ユーザの意図しないところで勝手にツイートが投稿される」といった「些細な事」ではなく、その手の行儀の悪い連携アプリに、継続的にRead and Write で権限を認可した状態となっている事が問題
上述している通り、既に明らかに行儀の悪い事をしているアプリに継続的に権限を与えてるのだから、「Read and Writeの権限の範囲内で何が行われても不思議では無い状態に置かれている」というのが最大の問題

「ブロックされてるか調べようったー」が行う具体的な「悪さ」

意外なひとからブロックされてたwww
貴方は22人からブロックされています (貴方のことをブロックしてる人一覧を見るにはこちら→ http://bit.ly/*****)

といった感じのbit.lyで短縮されたリンクを踏むと…。

f:id:otapps:20170419213216p:plain

上記のような、

http://AWSのものと思われるIPアドレス/pagename=hogehoge

といった認証用URLにリダイレクトされ、更にTwitterのアプリケーション連携画面に飛ばされる。

f:id:otapps:20170419212910p:plain

連携が完了すると…。

以下のようにコールバックし、

f:id:otapps:20170419213549p:plain

ここから更に私のサイトへリダイレクトされる模様。
で、自身の認証用URL「http://AWSのものと思われるIPアドレス/pagename=hogehoge 」を時間差で認証したユーザのタイムラインへ投稿し、削除までを行う模様。

さて、「短期的な問題」と「悪さ」については上記の通りなのだけれど…。
「連携解除を推奨する理由」でも挙げている通り、「騙し」のような形で連携させた上で上記のような操作を行っている時点で悪意を感じるし、今後、上記のような投稿だけでなく、「連携を取り消していない認証ユーザのアカウントで更に好き勝手やる可能性がある」という点が「ブロックされてるか調べようったー」の最大の問題点と言える。

この手の悪質な連携アプリは増え続ける可能性があるという事とその対策について

認証後に認証したユーザを、無関係な第三者のウェブサイトにリダイレクトし、リダイレクト先のサイトを隠れ蓑とするような悪質な連携アプリは既にいくつか存在するようです。
また、「ツイート本文」「連携アプリ名」「リダイレクト先」等は、その手のアプリの作者がいくらでも変更可能なものなので、今後も別の「連携アプリ名」「ツイート本文」「リダイレクト先」で大量に出てくる可能性があります。*5

対策としては、

  • 『よくわからない連携アプリ』をほいほいと連携しない事
  • (別に全てがとは言いませんが)他者のツイートから直接連携画面に飛ぶような連携アプリを連携しない事
  • 連携アプリの見直し・整理を定期的に行う事( ブラウザからTwitterにログインした状態で https://mobile.twitter.com/settings/applications

といった事に各々が気をつける他無い。

ていうか、以前にも…。

うちのサイトへ直接では無いけれど、間接的に迷惑だった連携アプリがコールバックしているURLのパラメータとして pagename=hogehoge をとっている事を確認しているのだけれど、手口といい、「前回のと作者同一じゃね?」とか思っている。(その時のサーバはAWSではなく別の国内のホスティング業者だったけれど。)
同一か否かに関係なく、個人的に迷惑度半端無い事、一般的にもたぶん迷惑行為であると思うので、意味があるかどうかはわからないけれど、AWSのabuseへ連絡しとこうと思う。

最後に、大事な事なのでもう一度だけ。

大事な事なので3度めだけれど、私が運営しているウェブサービス、「ひすったー」(https://followcheck.itby.net/)は無関係であり、ただ「ブロックされてるか調べようったー」の最終的なリダイレクト先として設定(隠れ蓑扱い?)されてしまっているだけです。
これ、一番重要な事なのですが、どうも誤解していらっしゃる方が多数いらっしゃるようで、ちょっと二次的な風評被害が酷いです…。


私が運営しているウェブサービス( https://followcheck.itby.net/ )は、フォロー・被フォロー・ブロック等の推移の「履歴」を管理する普通のウェブサービスです。
また、「ひすったー」が要求するアクセス権はRead only なので、ユーザのタイムラインに勝手にツイートを投稿するといった事はあり得ません。(TwitterAPIの仕様上)

蛇足ですが…。

この問題について確認後、割とすぐなので4月下旬頃から、最終的なリダイレクト先と"されてしまっている"、「ひすったー」( https://followcheck.itby.net/ )の上部で…。

f:id:otapps:20170516175049p:plain

といった警告と共にこの記事へのリンクをはっていたりします。
リダイレクトされてきた方の目に入りやすいように〜と思っての事ですが、それさえ読んで頂けない方にどのように注意を促せば良いのかと少々悩んでしまいます。

追記

悪質な連携アプリが、何故、無関係な第三者サイトにリダイレクトするのかという件について個人的な考えを書いてみました。
以下の記事です。
「ブロックされてるか調べようったー」という悪質な連携アプリが、私が運営するウェブサービス「ひすったー」へリダイレクトしている理由について考えてみる。 | バフたーん

もっと追記

更に、「結果としてアクセス増えて得しているんじゃないか?」といったご意見を頂いたので、マジレスしてみます。
「結果としてアクセス増えて得してるんじゃないの?」という意見に「ないわー。」と返せる理由。

*1:具体的には私のサイトにリダイレクトされている

*2:投稿内容は上記とは限らないけれど。

*3:認証URLは確認できたけれど、ツイート内容は保存する前に…(略)なので「らしい」としか言えない。

*4:主に投稿元アプリを確認出来ないクライアントを使っている方から。

*5:認証URLも「http://AWSのものと思われるIPアドレス/pagename=hogehoge 」といった感じで末尾のパラメータで複数のアプリを切り替える事が出来るように設計されているようだし。