1. まとめトップ

【スパム】クリックで「アプリ連携」を求めてくるツイートに注意

「驚愕のニュースです」とか「へえ、意外」といったトーンの文面で関心を引き、「続きはこちら」とか「回答はこちら」とURLをクリックさせるツイートがたくさん出回っていますね。そのURLをクリックすると「アプリ連携」を求めてくるようです。これがいつごろから流行ったのかなど。

更新日: 2014年12月30日

nofrillsさん

  • このまとめをはてなブックマークに追加
6 お気に入り 19409 view
お気に入り追加

※本「まとめ」作成からかなり時間が経過していますが、相変わらずこのタイプのスパムの勢いはあるようなので、改めて。

拡散して、どうぞ pic.twitter.com/BhMRxHmvEY

※12月30日にどなたかがRTしてくれて知ったツイートを追加

▼以下、本「まとめ」の初期状態(&アップデート)のまま

文面は、
"この問題、意味分かった時ゾッとする…
本当の意味恐ろしすぎる

詳細⇒h ttp://bit.ly/******

#拡散希望"

画像が貼付されていて、そこには「なぞなぞ」のような文面……興味を惹かれます。

前項のキャプチャ画像は「笑える話」系のbotアカウントのひとつが2月2日に投稿したツイートですが、1月31日に私が気づいた実際の例では、普段、この文面のような言葉づかいをしないアカウントからのツイートでした。それで「あれ?」と思って、少し見てみたのです(実は私も以前、「勝手にツイートされてしまう」リンクを踏んでしまったことがありまして…)。

bit.lyで短縮したURL+「#拡散希望」。怪しげと思ってbit.ly のURLを踏んでみたら twitter-app.com ほにゃららというURLで、そのページでもリンクを踏ませようとしている。URLググった結果→ url.ie/m0b5

上のような文面のツイートの文中のh ttp://bit.ly/****** のURLをクリックした結果……

bit.lyで短縮されているURLは:
h ttp://twitter-app.com/LP/nazo/first.html

「【難問】この問題が解けたら…」というヘッダーと、ツイートに貼付されていた「なぞなぞ」の文面、その下の「まずは、下のボタンを押してね!」までが画像で、その下の赤いボタンの「詳細を見る」は普通のテキスト。

※キャプチャ画像は、減色など加工してあります。

ちなみに、bit.lyで短縮されているページ、
h ttp://twitter-app.com/LP/nazo/first.html
のソースはこんなふう。

※ソースを見れば確認できると思いますが、このページを開くだけなら、何も被害はありません。

上記ページで「詳細を見る」の赤いボタンをクリックすると、
h ttps://api.twitter.com/oauth/authorize?oauth_token=*******
という形式の、Twitterのアプリ連携の画面になります。

ここで、「さっきのなぞなぞの答えを見たい」と思って「連携を許可する」をクリックすると、自動的にツイートされてしまうわけです。黙って画面を閉じましょう。そうすれば問題ありません。

※「NAVERまとめ」のアプリなど普通のアプリは、「連携を許可する」だけで自動的にツイートされることはないはずです。

twitter-app[dot]comというURLをググった結果の画面。
https://www.google.co.jp/webhp?hl=ja#hl=ja&q=http:%2F%2Ftwitter-app.com%2F

この検索結果を一瞥したところ、「自動的にツイートされてしまう文面」ばかりに見えたので、上記、調べてみた次第です。

@nofrills ↓これの類だと思います。 見た動画を“勝手に”ツイートする「Plays Now」に注意 アプリ連携のチェックを - ITmedia ニュース itmedia.co.jp/news/articles/…

@nofrills 「詳細を見る」という赤いボタンを押すとアプリ連携を求めてきて、「連携アプリを認証」すると、勝手にツイートされてしまうものと思われます。

ご教示ありがとうございます。

@nofrills どういたしまして。どうも最近この手のが大量発生しているようで、URLに「twitterr.xsrv.jp 」が含むものも同種です。例えば「ペットはどこに?」というクイズを出して、「今すぐ答えを見る」というボタンへ誘導します。困ったものですね…。

これは、うっとうしい……

twitterr[dot]xsrv[dot]jp を含むツイートの例。なぞなぞ、クイズ、心理テストのような、「電車に乗ってる間に見たくなる」ようなものですね……。

これは私、ひっかかりそう。

pick-twitter~という紛らわしいリンクも踏まないように。

pick-twitter[dot]comは、2月2日に大ブレイクしたようです(詳細は次ページ)。

これも、「問題」をいったん考えたら答えを知らずにはいられない感じ。これは、ひっかかりますね。。。

▼つまり:

URLに「twitterr.xsrv.jp」「twitter-app.com」を含むリンクや、「この問題、意味分かった時ゾッとする…」「ペットはどこに?」「マッチ棒パズル 18=246?」などの問題系は、全てアプリ連携をさせるための罠です。(つづく)

pick-twitter も。

(つづき)万が一「連携アプリを認証」してしまった場合は、公式の「設定」→「アプリ連携」から「許可を取り消す」ボタンを押してください。そのまま放置すると勝手に意図しないツイートをされてしまいます。

「アプリ連携」だけでなく、勝手にbot系アカウントをフォローさせられるケースもあるようです(次ページ参照)。

ウェブでtwitter.comでログインし、画面右上の歯車のアイコンから「設定 Settings」を選んでクリック→出てきた画面の左側で「アプリ連携 Apps」をクリックすると、
https://twitter.com/settings/applications

この画面で、当該のアプリの「許可を取り消す」ボタンをクリック。

(個人的に英語で設定してるので、説明のための図が見づらくてすみません)

それと、たぶん自分ではフォローした覚えのないアカウントをフォローしていることになってるはずなので、それもチェックしてください。

▼でもこれ、「パソコンからウェブで見る」場合ですよね……

連携アプリがからんできそうなURL(pick-twitterって入ってるURL)を踏むのはPCで見てるときだけにしましょう。モバイルの時は危険なので踏まない。

注意:ツイートに入っている pick-twitter のURLをクリックすることで意図しないアプリと連携してしまった方がいらっしゃるようです。パソコンのTwitterの設定より、連携させたくないアプリの連携許可を取り消すことができます。

日本のTwitterの公式が、「パソコンのTwitterの設定より」と書いてる。

連携アプリの取り消し操作を、パソコン以外からでも可能にはなりませんでしょうか。このような重要な操作も出来ず、公式以外のクライアントを閉め出す御社の姿勢には納得出来ません。 QT @TwitterJP: (省略)設定より、連携させたくないアプリの連携許可を取り消すことができます。

Twitterが普及しはじめた2008年や2009年のころの、「流行に目ざといアーリー・アダプターが使いこなしている」とかいうころの感覚ならこれでもよかったかもしれませんが、現在のこの「スマホで誰でも」の状況ではちょっと……ですよね。

PCがない人は?"@TwitterJP: 注意:ツイートに入っている pick-twitter のURLをクリックすることで意図しないアプリと連携してしまった方がいらっしゃるようです。パソコンのTwitterの設定より、連携させたくないアプリの連携許可を取り消すことができます。"

@nagawoka @jfkooya 申し訳ありません。このURLからスマホ用のアプリ連携設定の画面にジャンプするのですが、現在このページが運用されていないみたいです。スマホのアプリ連携画面に表示されているアプリ連携リンクも「問題が発生しました」となります @TwitterJP

……スマホでもhttps://twitter.com/settings/applications でいけるのではないかと思ったら、ページにはアクセスできても動作しないと。(何その「絵に描いた餅」!)

(しかし、こういうことをユーザーの互助に丸投げしちゃダメでしょ……2000年代半ばのはてなじゃないんだから)

PCを立ち上げなくてもできるのらしい。 スパムっぽいやつあるからアプリ連携の解除がモバイル端末でできたら便利だね。iPhone・AndroidスマホでTwitter連携アプリの許可を取り消す方法 | アプリオ appllio.com/20131016-4310-… @Appllioさんから

「Plays Now」が流行った時に書かれた対処法の記事。AndroidでもiPhoneでも、「Online Privacy Shield」というアプリを使うことで、パソコンがなくてもアプリ連携解除ができるようになるそうです。(スマフォでウェブ版からアクセスというのは、ちょっと大変そう……)

"しかし、Twitter社として、スマホから連携アプリを解除しづらい仕様のままにして良いのだろうか?" という指摘は実にごもっともなことだと思います。

▼この「自動ツイート」が、がんがん流れてくる……

アプリ連携スパム、短縮URLのbit.ly~と、twitterr.xsrv~の感染率を比べると、前者は1分当たり1~2件、後者は1~4件以上で、後者の方が多い。「twitterr」(rが1個多い)という紛らわしい表現が警戒心を弱めるのだと思う。

ああ、これはひどいですね。

1 2 3 4 5





作った「まとめ」の一覧は:
http://matome.naver.jp/odai/2133787881446274501

※基本的に、ログを取ってるのであって、「まとめている」のではありません。