「ブロックされてるか調べようったー」という悪質な連携アプリが、私が運営するウェブサービス「ひすったー」へリダイレクトしている理由について考えてみる。

「ブロックされてるか調べようったー」という悪質なTwitter連携アプリが連携後の最終的なリダイレクト先を、私が運営するTwitter連携のウェブサービスひすったー(https://followcheck.itby.net/)のトップページにしている事で、現在進行形で割と迷惑している。(ちなみに「リダイレクト先」として、別サイトを指定している類似のアプリも存在する模様。)

それについての詳細については以下の記事を参照して欲しい。
【重要】「ブロックされてるか調べようったー」という悪質な連携アプリに要注意。

以下、「ブロックされてるか調べようったー」を「例のアプリ」とし、その作者を「犯人」と表現する事にする。(迷惑被ってるので、別に構わないと思っている。)
で、「どうして犯人は、犯人自身のサイト等ではなく、『ひすったー』を最終的なリダイレクト先としているんでしょうね〜。犯人にとって何のメリットがあるの?」といった趣旨の事を尋ねられたので、自分の中で「何となく考えていた事」について、書いてみる。

ちょっと長くなる予定だし、一般の方には用語等がわかりづらく、詳しい方には用語等が中途ハンパで稚拙かつ冗長的な記事になる予定なので、興味無かったり、耐えれそうにない方は「『ひすったー』は悪く無い!」「『ひすったー』がユーザのタイムラインに勝手に投稿するといった事はない」という、ただ二つの大切な事だけ覚えて、ブラウザのタブを閉じて欲しい。

というわけで、本題。

リダイレクトする理由として考えられる事

本当の所どうなのかなんてのはそれこそ犯人のみぞ知るって所なので、あくまで「私はこう考える」という話である点についてご理解下さい。(例のアプリによって大変迷惑しているという大義名分があるので「検証」だとか「根拠」だとか既にすっ飛ばして何を言っても良い気分になってる。)
と、言っても、「その1」と「その2」しか無いのだけれど。

その1. 愉快犯の可能性

とってもシンプルで「一つの単語」で完結してしまうけれど、現実味はあまりない。
理由は…。

愉快犯では無いと考える理由

「意外なひとからブロックされてたwww」といったTwitterユーザの興味を引くような文章と共に認証用URL(認証後の最終的なリダイレクト先は「ひすったー」のトップページ)を投稿し、その後、アカウントの所有者に気づかれ辛いように「削除」まで行っている点がまず気になる。
勿論、TwitterAPIキーの凍結リスクを避けるため(連携アプリに必要なAPIキーを取得するにはSMS認証が必須なので、捨てアプリでも凍結は避けたいんじゃないかな…。格安SIMでも認証は可能なはずなのでそう高く付くものでも無いけれど。)とも考える事が出来るけれど、愉快犯にしては手が込みすぎだし、リスクを負いすぎ。
あと幅広くやりすぎ。(うちのサイト以外にも、リダイレクト先とされて迷惑しているサイトは多々あるようだし。)

その2. 多数のアクティブなユーザのアクセストークン取得のための「隠れ蓑」とするため

まあ、尋ねられるまで、この一択で私の中では納得していた。
TwitterAPIの場合、一度アカウント所有者がアプリ連携した際に取得出来る「トークン」はアカウント所有者が連携を取り消すまで継続的に利用可能なので、トークンを保持して置くことで、ユーザのアカウントを継続的に操作する事が可能になる。(認可された権限の範囲内で。)

ちなみに、「例のアプリ」のアプリケーションタイプは「Read and Write」なので、TwitterAPIで可能な操作(DM関連以外)が可能となる。
一例をあげると

-ツイートの投稿・削除
-フォローの追加・解除
-ブロックの追加・削除
-「いいね」の実行・解除
-リツイートの実行・解除
-ツイート・タイムライン・お気に入り・ブロック・フォロワー・フォロー等の取得

その他諸々、TwitterAPIで可能な操作の中でDM関連以外の操作が可能となる。(アプリケーションタイプについてもっとkwsk!という方は「アプケーションタイプについて」という記事を参照して欲しい。)

で、「これらの操作を行うための、トークンを集めるための隠れ蓑」として、「ひすったー」へリダイレクトしているのでは無いかと考える。
アプリを連携しても何も起こらなければ不信に思う方は多いだろうけれど、一応「連携サービス」として存在している「ひすったー」へリダイレクトするのであればその時点で「疑われる可能性」というのは小さくなる。
で、ツイートから直接連携画面へ飛び、連携したアプリよりも、最終的にリダイレクトされたサイト「ひすったー」の方が印象に残りやすいと思われるので、そういう意味で「隠れ蓑」としてリダイレクトされているのでは無いかと考える。
実際、調べもせずにトップページでわざわざお知らせしている事も読まずに、うちのサイトに対する疑い「無根拠」「無責任」に公に発している方とかいらっしゃるようだし、そういう意味では、うちのサイトである「ひすったー」が「隠れ蓑」とされているといったあたりが正解なのでは無いかと思う。
ちなみに、うちのサイトに限らず、類似の悪質な連携アプリによって、最終的なリダイレクト先にされている無関係であろうサイトをいくつか確認している。

じゃあ「犯人」の「目的」は何なのか

わざわざ無関係な他者のサイト(具体的にはうちのサイト)へとリダイレクトする理由は何なんだろう〜…という話。

「連携解除せずにそのまま連携しっぱなし」という方は一定数居ると思うので…。
連携されたままになっているアカウントのトークンの「悪用」が考えられる。

「広告ツイート」「広告リツイート」等での利用

連携済みアカウントへの「広告ツイート」「広告リツイート」等での利用が考えられる。
実際広告ツイートが成されているという報告もある。(ただし私は未確認)
まぁ、実際のところ、Twitterって余程の大物がツイートして話題になるか、余程の数のツイート・リツイートが行われない限り、「大した利益にはならない」ってのが持論ではあるので、これだと「割に合うのかなー?」とかいう疑問が残るのだけれど。


「割に合わない」と考える理由としては、それによって得るであろう「利益」の問題。
Twitter連携アプリを作成するにはTwitterでSMS認証をする必要があるので、そんなしょうもない事で「元が取れるか」ってのが微妙なところ。
TwitterAPIを利用する場合、開発者はSMSでの認証が必須なので、開発者アカウントやコンシューマキーをサスペンドされた場合、再度、別の番号を持つSMS対応のSIM等での認証が必要となる事を考えると、個人的にはそれらの行為のためにこの手の悪質な連携アプリを動かすのは割に合わない気がしてならない。
そもそも「ツイートの投稿」「そのツイートの削除」等を認証ユーザの意図しない所でやっている時点で、TwitterAPIの規約以前の問題で「リスクが大きすぎる。」と考えるし、「リスクに見合う利益を得る事が出来るのか…」とか考えると「微妙じゃないかなー」と。

もっと別の方向で考えてみる

これに関しては、上手く説明出来る自信が無いし、誤解した上で無駄に強気に発信する方とかいると「相当ウザイ」ので、これまであまり触れたことは無く、目に見えやすい「Write以上の権限」の問題だけを強調する事が多かったのだけれど…。

現在のTwitterAPIの仕様上(2017/05/08 時点)、アプリに権限を認可した連携済みアカウントが多ければ多い程「アプリがTwitterAPIにリクエスト出来る上限数は増加する」。
というのも、2017/05/09時点で、TwitterAPIは連携済みアカウント及びAPI毎に「時間あたりのリクエスト上限」が設けられている。
基本的にWrite(書き込み)系、連携済みアカウントに対してのみの操作が基本となるのだけれど、Read(読み込み)系に関しては、「認証アカウントではない他者」のユーザタイムラインを取得するAPI/検索系API等(あくまで一例)、連携アカウントに関係無く「ほぼ同じ結果を得る事が出来るAPI群」が存在する。
一般的な常識・良識等を置き去りにする事を前提とするならば、これらのAPI群の利用を目的とする場合、「連携済みアカウント数×一定時間当たりのAPIリクエスト可能数」と考える事が出来なくもないので、連携済みアカウントが多ければ多い程有利となる。
要は「連携済みアカウントとは一切関係無い事に認可済みのトークンを利用されている可能性もある」という事を言いたいのだけれど、上手く説明できているか不安(文章を書くというのはとても苦手なので。)。
ぶっちゃけ、「例のアプリ」に関しては既にWriteの時点で、「お行儀が悪い」を通り越して「悪質」と言える動作を行っている事を考えると、騙しのような形で認可させたトークンが何かしらのRead系のAPIの利用等にも使われている可能性もあるという事を言いたい。(もう少し「具体的」に考えてる事はあるのだけれど、それを言っちゃうと妙なところに疑いが飛びそうなのでひかえようと思う。)

そしてそれらは、やり方によっては、「単純に連携済みアカウントに『広告等を投稿』」とかするよりも、『余程利益を生むかもしれないね〜…』」と個人的には思うのだけれど、これまた上手く説明出来る自信がないし、そんな下衆の勘ぐりでしか無い事を公に語って、自身に疑い向けられてはもともこもないのでそれについて書くのは控えようと思う。

実際「可能であるか否か」と「実際に行われるか否か」は全く別の話ではあるのだけれど…。

私自身「『可能であるか否か』と『実際に行われるか否か』は全く別の話」という事をよく言うし、「んな事言い出したらキリがねーべよ!」って事は多々あるのだけれど…。
正直「ブロックされてるか調べようったー」に関しては、既に「お行儀が悪い」を通り越して「悪質」といえる動作を繰り返しているし、何よりも「私自身が直接的に大変迷惑している」ので、「『そのくらいやってておかしくないんじゃね?』とかいう権利くらいはあるよね〜・・・」と思っている。

自分の中では完結している事でも…

文章を書くという事が致命的に苦手なので、自分の中では理屈付けして完結している事(推測でしか無いけれど)でも、それを他人に伝えようと思うと色々と大変なのね〜とか思う。

Leave a Reply

Your email address will not be published.