2014-07-05
内閣府防災アカウントがつぶやいたスパムツイートを少し調べてみた
インシデントまとめ | |
2014年7月5日14時頃 内閣府防災アカウント(@CAO_BOUSAI)がスパムツイートを行ったとして騒ぎになりました。ここではこのツイートについて関連情報を少し調べたのでこれをまとめます。
スパムツイート
— piyokango Mk-II (@piyokango) 2014, 7月 5
公式発表(お詫びツイート)
【お詫び】先ほど内閣府防災とは関係のない内容のツイートが当アカウントから流れてしまいました。大変申し訳ありませんでした。(内閣府防災TW担当)
— 内閣府防災 (@CAO_BOUSAI) 2014, 7月 5(1) スパムツイート分析
URLをクリックすると連携アプリ認証画面が表示される
認証を行うと
スパムツイートを投稿した連携アプリは「新着ニュース」
スパムに乗っ取られてる内閣府防災アカウント pic.twitter.com/dGPDFY7nCU
— ゴミちゃん♨i-Doll41H21,22 (@Go_mi_chan) 2014, 7月 5このつぶやきの短縮URLをクリックして認証した場合に連携するアプリ名も「新着ニュース」です。別の方が投稿したスパムツイートのURLをアカウント操作担当者がクリック、認証を行ってしまったのではないかとも考えられますが、原因については明らかにはされていません。
もし認証してしまったら
尚、過去よく見られていたスパムアカウントの勝手なフォローは今回piyokangoの検証時には確認されませんでした。ただ、挙動は変わっていることも考えられるため、誤ってスパムアプリの認証を行ってしまった人は念のため確認をした方がよいでしょう。
画像は2014年5月17日に投稿された画像を使用した模様
Google PlusのAKB48 川栄さんの5月17日の投稿写真を流用しているようです。
余談ですがノコギリ事件は5月25日に発生しており、5月17日の写真を使用すると時系列として矛盾することからAKB川栄さんのファンならこの写真を見て引っ掛からないのではないかと思います。
(2) スパムツイートに含まれていたURL
スパムツイートに使用されていた短縮URL「jump.cx/zDH22」は「1nori3nori.com」が指定されていることが分かります。
URLで検索してみる
この「1nori3nori.com」を検索してみると色々と引っかかることが分かります。一応検索結果の掲載はここでは自粛。
「site:1nori3nori.com」をさらに検索してみる
楽天ショップの商品を掲載するコピーサイト?のようなものが沢山検索にかかります。
このサイトはアフィリエイト目的?
このサイトに埋め込まれている「a8.net」はアフィリエイトサイトのURLの模様。
さらに他ドメインも発掘
コピーサイト?のリンクに複数の別ドメインが張られていることが分かります。
(3) 別URLのつぶやきを確認
同じ文面で別の短縮URLが使用されているケースを確認しました。今回のスパム投稿との関連性があるかどうかは分かりません。
スパムURLのクリック件数は4000件以上
Googleの短縮URLは詳細を第三者も確認できるので見てみたところクリック総数は4000件以上でした。
ディレクトリ公開状態
このURLにアクセスしてみたところ、他にも複数のスパムらしきものが用意されていることが分かります。
(4) Twitterで検索してみる
- 「bujyu2」の検索結果
この結果とスパムアプリで使われたURLの検索結果の関連性は不明です。
コピーサイトは次のURLを確認しています。
bujyu2.com
bujyu2.digi2.jp
www49.atpages.jp/bujyu2/
www.rakusuke.info
nanikaaruka.hisa-hide.com
karabinka.com
29kurage.info
nananora.utun.net
nananora.han-be.com
kurapika.miraiserver.com
(5) 不正URLの報告
JUMP.CXを運営するサイトには不正URLの報告フォームがあります。このURLを使ったスパムは(検索でかかった限り)6月28日も行われており、、一週間以上も野放しの状態になっています。というわけでとりあえず報告しておきました。
更新履歴
- 2014/07/06 AM 新規作成