Twitter 社は最近、最も活発に活動を示していたスパマーおよびスパムツールプロバイダをサンフランシスコ連邦裁判所に提訴しました。提訴リストに名前が挙がったのは、TweetAttacks、TweetAdder、TweetBuddy の 3 つの団体と、justinlover.info の James Lucerno、troption.com の Garland E. Harris の 2 名の個人スパマーです。ここでは、そのようなスパムを調査および追跡しており、これらのスパムツールの特徴や機能の詳細をお伝えします。
TweetAttacks
図 1. TweetAttacks
TweetAttacks は自らを Twitter のマーケティング製品と位置付けています。TweetAttacks Pro、TweetAttacks Lite、TweetAttacks Free Edition の 3 つのバージョンが存在し、同時に数千のアカウントにツイートやリツイートを投稿する機能を持っています。
図 2. TweetAttacks のユーザーマニュアル
興味深いモジュールをいくつかリストします。
フォロー/アンフォローモジュール: このモジュールは複数ユーザーのフォロー/アンフォローを自動化します。フォローとアンフォローのポリシーを設定でき、たとえば一定時間以内にフォローバックのないユーザーは自動的にアンフォローすることができます。また Twitter 社によるアカウント停止を回避する機能も備えています。
ダイレクトメッセージング: すべてのフォロワーにダイレクトメッセージを送信することができます。
@返信および @関連ジェネレータ: スパマーは、このモジュールを使用して、特定のキーワードまたはコンテキストに基づいて、すべてのユーザーに @返信を送ることができます。たとえば、詐欺師がポルノ関連のリンクを一斉に送信しようとしたとします。このモジュールを使用すると、キーワード「porn」をツイートに含むすべてのユーザーを見つけ、@返信を使ってそれらのユーザーにポルノ関連のリンクを送ることができます。また、詐欺師がフォローしていないランダムな数の Twitter ユーザーに悪質なリンクを @関連として送ることもできます。
図 3. @返信および @関連ジェネレータの例
またマニュアルには、詐欺調査リンクの一斉送信の方法も記載されていました。リンクを送信するのに最適な時間帯、新規作成アカウントのフォロワーを増やす方法、1 日に送信するツイートの数、送信停止を回避する方法、詐欺調査リンクを取得する場所などについて細かくアドバイスされています。
図 4. 詐欺師へのアドバイス
TweetAttacks はまた、Twitter アカウント作成サービスを提供しています。これは、毎日数千の電子メール認証された Twitter アカウントを取得するものです。これらのアカウントのプロファイルには、本物の人間の名前と写真が設定されています。
ノーマルツイートモジュール: これは、害のないツイート、つまりリンクやハッシュタグを含まないツイートを自動的に投稿するためのものです。これは、アカウントの存続期間を維持し、正当であるように見せるためのものです。
リツイート攻撃モジュール: これは、別のスパムアカウントを使用して、詐欺ツイートをリツイートするための機能です。「RT」のわずか 2 文字で自然に信憑性が増すので、それを利用してツイートを正当なものに見せかけます。
TwitterAttacks は Twitter API を使用していませんでした。ほとんどの Twitter API は使用回数が制限されているため、代わりに標準的な Web ブラウザを装った分散したマシン上で自動スクリプトを実行し、Twitter サービスにアクセスしていました。この方法であれば、アクティビティに対して警鐘が鳴らされることはなく、自動化を高いレベルで実現できます。
TweetAttacks Pro の価格は $127 で、Lite バージョンは $57 です。
TwitterAdder
図 5. TweetAdder
TweetAdder も機能的には TweetAttacks に似たものです。
図 6. 主要な機能の一部の画面ショット
このツールは、複数アカウントの作成と使用、ユーザーの自動フォロー/アンフォロー、ツイート、リツイート、@関連、および @返信の自動生成が可能です。
また、スパマーが、ツイートに使われている言葉を代わりの言葉で置き換えて似たような複数のツイートを投稿するという独自のジェネレータ機能や、スパマーをフォローしたユーザーに対して、ランダムに選択されたメッセージを送信する機能があります。
図 7. TweetAdder の GUI
また、プライベートプロキシサービスの使用が推奨されていました。これは、スパマーがいくつかのプライベートプロキシから TweetAdder を実行できるようにするためです。他には、TweetAdder をホストして実行する場合に仮想専用サーバー(VPS)を使用することが推奨されていました。
図 8. TweetAdder は Twitter プロファイル数 1、5、10、無制限のパッケージで製品を販売
今回の提訴によって、Twitter を利用した詐欺行為が減ることを期待しています。また、スパム報告にご協力ください。知らないユーザーからのリンクはクリックしないように注意してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。