twitterのスパムアカウントを考察する [ltdd 01]
DESCRIPTION
[LT駆動開発 01]のスライドです。TRANSCRIPT
![Page 1: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/1.jpg)
Twitterのスパムアカウントを 考察する
2014/03/01 LTDD #01 ねむねむ @nemumupoyo
![Page 2: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/2.jpg)
自己紹介
• HN: ねむねむ
• Twitter: @nemumupoyo
• 情報系の学生です
![Page 3: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/3.jpg)
Twitterスパムアカウントとは
• ここ最近増えている、無差別フォローアカウント
• リンク付きツイートを行い、そのリンクを踏むとアプリ認証ページへ飛ばされる
• 間違えてアプリ認証をするとあんなことやこんなことをされる(後述)
![Page 4: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/4.jpg)
スパムアカウントの生成目的• アカウントそのものを売るため
• アプリ認証をさせて情報を取得するため
• アプリ認証でフォロワーを増やすため
• 情報操作 #知らんけど
• その他(トレンドねつ造、何らかの研究など)
![Page 5: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/5.jpg)
アプリ認証するとどうなるか• 勝手にツイートされる
• 勝手に知らない人をフォローされる
• 勝手にDMを読まれたり送られたりする
• 勝手にプロフィール画像・ユーザー名を変更される
(́・ω・`)・ω・`) キャー / つ⊂ \怖いー
![Page 6: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/6.jpg)
という話は置いておいて
![Page 7: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/7.jpg)
本題
![Page 8: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/8.jpg)
そんなに大量のアカウントを どのように生成しているのか?
![Page 9: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/9.jpg)
技術的に問題点がありそう
• APIがアプリケーションごと停止されたら終わりなのでは?
• 画像認証もあるのでは?
• アカウント作成数に制限とかあるのでは?
![Page 10: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/10.jpg)
技術的に問題点がありそう
• APIがアプリケーションごと停止されたら終わりなのでは?
• 画像認証もあるのでは?
• アカウント作成数に制限とかあるのでは?
![Page 11: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/11.jpg)
クライアントを 確認してみました
![Page 12: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/12.jpg)
![Page 13: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/13.jpg)
クライアントを使わず Web・keitai WebなどWeb上から
ツイートしている
APIを経由せず公式のWebを使うことで アカウント全体の凍結を防ぐ
![Page 14: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/14.jpg)
技術的に問題点がありそう
• APIがアプリケーションごと停止されたら終わりなのでは?
• 画像認証もあるのでは?
• アカウント作成数に制限とかあるのでは?
![Page 15: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/15.jpg)
技術的に問題点がありそう
• APIがアプリケーションごと停止されたら終わりなのでは?
• 画像認証もあるのでは?
• アカウント作成数に制限とかあるのでは?
![Page 16: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/16.jpg)
手作業でアカウントを 作成してみました
![Page 17: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/17.jpg)
分かったこと• どのIPアドレス(国も問わず)でも1回目は画像認証が表示されない
• 2回目からは画像認証が表示される
• 8回目辺りでアカウント作成画面で弾かれる
• 約1日経つとカウントはリセットされる
![Page 18: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/18.jpg)
分かったこと• どのIPアドレス(国も問わず)でも1回目は画像認証が表示されない
• 2回目からは画像認証が表示される
• 8回目辺りでアカウント作成画面で弾かれる
• 約1日経つとカウントはリセットされる
あれ? 画像認証が出ない
![Page 19: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/19.jpg)
フォームのPOST内容パラメータ名 詳細
authenticity_token hiddenフィールドに表記されたTokenuser[name] 登録するユーザーのユーザー名user[email] 登録するユーザーのメールアドレス
user[user_password] 登録するユーザーのパスワードuser[screen_name] 登録するユーザーのID
user[remember_me_on_signup] ログイン維持の確認user[use_cookie_personalization] Cookieによるトラッキング機能の確認asked_cookie_personalization_setti
nghiddenフィールド(常に1)
user[send_email_newsletter] 最新情報をメールで受信するかuser[discoverable_by_email] メールアドレスからの友人検索機能context、ad_id、ad_ref 空文字・無くても良さそう?Cookie・Session レスポンスに含まれるCookie,Session
![Page 20: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/20.jpg)
これなら 自動生成ができそう
1日1回までなら大量自動生成 とは言えない
でも
![Page 21: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/21.jpg)
技術的に問題点がありそう
• APIがアプリケーションごと停止されたら終わりなのでは?
• 画像認証もあるのでは?
• アカウント作成数に制限とかあるのでは?
![Page 22: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/22.jpg)
技術的に問題点がありそう
• APIがアプリケーションごと停止されたら終わりなのでは?
• 画像認証もあるのでは?
• アカウント作成数に制限とかあるのでは?
![Page 23: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/23.jpg)
そこでEC2です
![Page 24: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/24.jpg)
EC2はインスタンスを再起動する度に IPが変更される
(固定IPにすることも可能)
![Page 25: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/25.jpg)
Twitterアカウント登録フォーム
PC
EC2 API Tools
EC2
起動・再起動
POST送信
![Page 26: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/26.jpg)
EC2無料枠で計算するとEC2無料枠(月750時間)で計算すると
理論上では12×750 = 9000 (個) のアカウントを作成可能
1年(12ヶ月で)
![Page 27: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/27.jpg)
あれ?
![Page 28: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/28.jpg)
別にEC2使わなくてもFlashやJava Servletを使ってCookie・Sessionを管理できれば自動生成が可能なのでは?
![Page 29: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/29.jpg)
POST送信にFlashや Java Servletを悪用された場合• FlashやJava Servletを用いてSession・Cookieを管理することで悪意のあるサイトにアクセスしただけでアクセスしたユーザーのIPアドレスでTwitterアカウントを作成することが可能
• バックグラウンドで動作し、ユーザーには目に見える影響が無いため被害に気づきにくい
• IPアドレスがランダムなため、アカウントを凍結することが難しい
![Page 30: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/30.jpg)
まとめ・感想
• Twitterアカウントの自動生成は実現可能
• アカウント作成時に必ず画像認証を出さない理由は不明(ユーザー数を増やすため?)
• APIに対する規制を強化してもスパムに対しての効果は薄い
![Page 31: Twitterのスパムアカウントを考察する [LTDD 01]](https://reader034.vdocuments.site/reader034/viewer/2022042816/559869731a28ab1a0b8b45c3/html5/thumbnails/31.jpg)
ご静聴ありがとうございました
@nemumupoyo