投稿したリンクを乗っ取る悪質な Twitter 連携サービスから自衛する

投稿したリンクを乗っ取る悪質な Twitter 連携サービスから自衛する#interest_aeおがた (@xtetsuji) です

Twitter への連携を要求する連携サービス(アプリ)はたくさんありますが、中にはそれを承認するとユーザに感染するように悪事を働くマルウェアと呼ぶに相応しいものもあります。

特に linkis.com (または短縮リンクより ln.is と呼ばれる)というサイトとアプリは、Twitter 上で承認をしたユーザのツイートを悪用し感染していくものとして有名です。

私が解説するまでもなく、上記を含めた様々な場所で注意喚起が行われています。

この linkis.com の問題点、そして簡単に探す方法であったり、Twitter マルウェアに対処する方法をまとめてみます。

linkis.com の挙動

挙動については、ニコニコ大百科の以下の記事が端的でわかりやすいです。

ざっと流れを書いてみると

  • 既に linkis.com に感染しているユーザのツイートのリンクをクリックすることで、linkis.com アプリが接続要求をする
  • 接続要求を承認してしまうと感染
  • 感染後にリンク付きツイートをすると、そのリンクが linkis.com のものに書き換えられる
    • 細かい挙動としては、ユーザがリンク付きツイートをすると、linkis.com アプリがそのツイート内容を確保。そのツイートの中のリンクを ln.is (linkis.com の短縮リンク) のものに置き換えた上で、承認した linkis.com アプリが承認したユーザになりかわってツイートをして、元のツイートは消してしまう
  • そのツイートを見ることになるフォロワー達は、そのリンクをクリックしても linkis.com による偽装が入った操作性の悪いページに遷移し、linkis.com が仕掛けた罠部品をクリック・タップすることで、そのフォロワーにも linkis.com は接続要求をして感染を広げる動作に出る

という感じです。

良く知られたページで実際に linkis.com に改ざんされたページがどう表示されるか見てみましょう。

サンプルとして楽天のトップページ (http://www.rakuten.co.jp/) を linkis.com に改ざんしてもらいます。今回は linkis.com のサイトにいってわざわざ改ざんしてもらいましたが、通常は linkis.com に感染した Twitter ユーザのツイートからこのようなリンクが流れきます。

linkis.com によって改ざんされたページはこのように見えます。そのサイトのものではないURL と、上部に悪目立ちすることなく入れられたツールバーのみが手がかりです。

linkisで開いた楽天

このツールバーは linkis.com が改ざんして挿入したもので、楽天が入れたものではありません。このツールバーのシェアボタンなどを押すと、linkis.com に感染した URL がばらまかれ、さらに Login を推すことによって Twitter の連携を要求してきます。この連携を承認してしまうと、自分もlinkis.com に感染してしまうことになります。

しばらくこのページを放っておくと、さらにポップアップメニュー(モーダルダイアログ)を出してきて、ユーザに Twitter の連携を許可しようとします。つまり感染をしようとしてくるわけですね。

linkis が介入してくる

これも linkis.com が元のサイトを改ざんして出しているリンクです。これを許可することによって、自分も感染してしまうことは上述した通りです。

linkis.com の悪質性

Twitter 連携アプリはお送りますが、なぜ linkis.com が悪いというと、だいたい以下のような理由でしょう。

  • 欺瞞。ユーザの意図とは関係なく連携承認させようとする。
  • 自己増殖性。ユーザの感染がさらに別のユーザへの感染へ繋がる。
  • 改ざんによる権利侵害。このような手法はページ内容の改ざんにあたり、現在では著作権などの権利侵害と扱われる。

「私は感染しないから感染している人を見つけても放っておく」だけで済まないことが上記から導かれます。結核などに感染している病人を公共の場に出すようなものです。

このような手法でサイトの情報を改ざんしたページを公開リンクで見せる手法は、たとえ欺瞞や自己増殖性がない場合でも、そのページのデータに手が入っていると誰もが分かる状態で明記しなければ、著作権侵害として扱われることが通例です(明記して運用している例としては、ウェブ魚拓Internet Archive などのキャッシュサービスがあります)。

フォローしている人の中で感染者を見つける方法

では、自分がフォローしている人で linkis.com に感染している人はどう見つければよいでしょうか。リンク文字列を詳細に見ていけばいいですが、Twitter の詳細検索には「フォロワーのツイートから検索をする」機能があり、それを利用することで簡単に感染者を見つけることができます。

下記のリンクで「フォロワーの中で linkis.com が入ったツイート」を検索できます。

バックスラッシュ(円マーク)が入っているのは、これがツイートとして流通した場合にもリンク化されないようにするだけで、検索文字列にバックスラッシュは必須ではないです。

linkisに感染している人の検索結果

上記リンクは、Twitter の検索オプションから「フォローしているユーザー」を選んだものです。検索結果は上記のような画面になります。

linkis.com に感染している人に教えてあげたほうがよい?

感染者を探した後が難しいところです。なぜそれが悪質とされているのかというところを感情抜きに説明しなくてはなりません。結核と診断されても医者の言うことを聴かない人がいるように、何が悪いのかとはぐらかされることがほとんどだと思います。よりひどいケースとしては人間関係の悪化を招きかねません。

上記の検索方法も、この人がツイートするリンクは危険と認識して自衛するために活用したい情報なのですが、上述の通り検索して出てきた人に感染を教えてあげることは相当親密な仲で無ければトラブルの元になるので十分な注意が必要でしょう。この手の「何が悪いのか理解させる段階でトラブルが発生する」議論はネットの世界でもチェーンメール時代からの伝統のようなものです。私はそんな議論に既に疲れたので個別に注意することは原則しません。

親密な仲の人に教えて上げつつも、我々は社会全体としてのリテラシーを上げることに努めたほうが良さそうです。社会全体のリテラシーが向上することで、linkis.com のような悪が排除されていくことを期待しつつ、今の私達はリテラシーを身につけて自衛するというのが良いと感じます。

Twitter 社がマルウェアとして  linkis.com のアプリケーション登録を取り消す可能性としては、linkis.com はギリギリグレーな挙動です(違法ではなく脱法的な)。疑わしきは罰せずという現代においては、linkis.com のアプリケーション登録を Twitter 社が取り消すことは難しいでしょう。各ユーザは自衛をしつつ、このようなマルウェアから選択的に守ってくれるセキュリティソフトウェアを探したりすることが良いのかもしれません。

定期的に連携サービスを見直す

Twitter の連携サービスの承認画面を注意深く見つけるようにしても、変な連携サービスを承認してしまうことはあるでしょう。

連携サービスは Twitter サイトの右上のアイコンから確認することができます。直接アプリ連携のリンクからジャンプすることもできます。

Twitterの連携サービス確認画面

このリストは自分自身で連携を承認したサービスですが、もし記憶に無いもので不必要そうなものがあれば、積極的に「許可を取り消す」を押していくと良いでしょう。本当に必要であれば、またアプリの要求に応じて連携を承認していけばいいだけです。私も時々見直しています。

いつの時代も悪巧みをする人は日々巧妙な手を考えたりするものです。私も日々勉強です。近くにいる「詳しい人」や、検索して出てきた「専門家」も正しい情報をキャッチアップできていないかもしれません。普遍的に有効とされる方法を信頼できる人と相談しながら対応していくことが大事なのでしょう。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です