シマンテックセキュリティレスポンスが確認したところ、「いいね」やフォロワーの数を増やすために、ボットと思われるアプリに対してユーザー名とパスワードを進んで共有してしまっている Instagram ユーザーが少なくないようです。
図 1. InstLike アプリの最初のログイン画面
InstLike というアプリは、iOS 版と Android 版の両方が利用可能でした。Apple 社の App Store と Google Play ストアの両方で公開されていましたが、その後どちらのストアからもこのアプリは削除されています。モバイル版のオンラインアプリもあります。
InstLike では、ユーザーが「いいね」とフォロワーの数を無料で獲得できると謳われています。しかし、以前にも警告したように、ソーシャルネットワーク向けに「無料」を謳うこの手のサービスが本当に無料ということはありません。InstLike の場合も、ユーザーは Instagram のログイン情報を入力するよう求められます。本来であれば、Instagram アカウントとのやり取りを必要とするアプリは、ログイン情報を要求するのではなく、Instagram API を使うべきです。
自動プロモーションを目的に Instagram アカウントが乗っ取られる
InstLike サービスに登録すると、自動的に「いいね」を押したり自動的に他のユーザーをフォローしたりする目的のために、Instagram アカウントの外部制御を許可することになります。シマンテックがこのアプリをテストしたところ、テストに使った Instagram アカウントはたちまち、ユーザーによる同意や操作も行われないまま写真に「いいね」を付け始めました。
Instagram で売買される「いいね」とフォロワーの数
InstLike アプリは仮想通貨システムを利用しており、現実世界の通貨で購入するコインと引き換えに Instagram の「いいね」とフォロワーの数を売り込もうとします。コインは、一定金額の米ドルで購入できます。
| コイン |
価格 |
| コイン 100 枚(最小単位) |
1.00 米ドル |
| コイン 5,000 枚(最大単位) |
50.00 米ドル |
図 2. InstLike では Instagram の「いいね」とフォロワーの数が現実世界の通貨で売買される
Instagram の写真に対する 1 回の「いいね」がコイン 1 枚分、1 人のフォロワーがコイン 10 枚分に相当します。
| サービス |
コスト |
| 1 回の「いいね」 |
コイン 1 枚 |
| 1 人のフォロワー |
コイン 10 枚 |
| 1 日の有料サービス |
コイン 20 枚 |
コイン 20 枚に当たる InstLike の有料サービスでは、独自のハッシュタグを利用して自動的に写真に「いいね」を付けることが可能になるなど、自動の「いいね」機能をさらに細かく調整できます。ただし、ボット的な活動として Instagram から利用停止措置を受けないように、InstLike はハッシュタグの「いいね」を故意に遅らせます。
InstLike アプリをインストールしているかどうかにかかわらず、どの Instagram ユーザーでも、InstLike の特定のコメント文字列を使えば特別に 20 個の「いいね」を獲得することができます。
図 3. コメントを監視することで InstLike が「いいね」を付ける
他のユーザーに InstLike を紹介してコインを稼ぐこともできます。また、コインをさらに増やすために偽の Instagram アカウントを作成する方法までが、YouTube にチュートリアルとしてアップロードされています。
Instagram の実際の数値は自動の「いいね」によってゆがめられている
Instagram 上にある写真のうち 50 万枚近くには、#instlike_com というハッシュタグが含まれており、その結果 900 万以上の「いいね」が自動的に付けられています。ただし、「いいね」の数が上限の 20 に達するとユーザーは InstLike のハッシュタグコメントを削除できるので、InstLike が自動的に付けた「いいね」の総数はもっと多い可能性があります。
Google Play ストアによると、InstLike のインストール数は 100,000 から 500,000 の間でした。Apple 社の App Store では統計が示されていませんが、InstLike アプリは、アプリ内課金によって iOS アプリのトップセールスランキングで 145 位に入っています。比較対象として、人気ゲーム「Temple Run 2」でも iOS アプリのトップセールスランキングで 181 位です。
図 4. iOS アプリのトップセールスランキングに入っている InstLike
Instagram ユーザーが積極的にソーシャルボットネットの一部に
人気歌手のジェイ・Z も言ったように、ソーシャルメディアでは数字は嘘をつきません(Numbers don't lie)。ユーザーが獲得した「いいね」とフォロワーの数は、ソーシャルネットワークにおける成功や影響力を示すひとつの指標です。「いいね」やフォロワーの数を増やしたいという心理的な欲求は強く、InstLike のようなサービスはまさにその目的に適っていますが、その代償として多大なセキュリティ上のコストが掛かります。ユーザーは自ら進んで、不正なサービスに詳細なログイン情報を提供しており、事実上ソーシャルボットネットの一端を担う結果になっています。
以下のように、InstLike は Instagram の利用規約にも API 利用規約にも違反しています。
- You agree that you will not solicit, collect or use the login credentials of other Instagram users.(利用者は、他の Instagram ユーザーのログイン認証情報を請求、収集、利用しないことに同意します。)
- You shall not use the Instagram APIs to post automated content to Instagram, including likes and comments that were not initiated and entered by an Instagram user.(Instagram API を利用して、自動化されたコンテンツを Instagram に投稿してはなりません。Instagram ユーザーによって設定または入力されていない「いいね」やコメントなどもこれに含みます。)
お使いのデバイスに InstLike アプリをインストールしている場合には、速やかにアンインストールし、Instagram のパスワードを変更してください。Instagram のパスワードを変更しないかぎり、「いいね」とフォロワーの数の自動追加のためにアカウントが利用されてしまいます。
アカウント情報は、サードパーティ製のいかなるアプリやサービスとも共有しないようにしてください。サードパーティ製のアプリやサービスがアカウント情報やユーザー情報へのアクセスを必要とするのであれば、正規の API と認証プロトコル(OAuth 2.0 など)を利用するべきなのです。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。