雰囲気で情報セキュリティをやってます.

ソーシャルメディアの観測について

この記事は

この記事はセキュリティキャンプ 修了生進捗 #seccamp OB/OG Advent Calendar 2018の21日目の記事です.

adventar.org

が,特に進捗しているわけではなく,観測したことについての注意喚起の記事です. DDoSの研究をまとめるという話をしていたのですが,こちらの方が伝えておきたいと思いましたので書いてみようと思いました. (記事の公開が遅れてしまい申し訳ありません...)

ここに書いてあることは全て当たっているかもしれないし,全てハズレかもしれません. どうまとめるかを非常に悩んだので怪文書的になっていると思いますが,ご了承ください.

工夫と後悔

私は今年度三つほどTwitterリストをつくりました.

  • SecHack365 2nd
  • seccamp2018_member
  • seccamp2018_all

このようなTwitterリストをつくることについて,便利という理由がまずあります.(同期の参加者が誰かわかる,TLを分けられる,など)
私は上記のリストのどれのメンバーでもないですが,ぜひ同期間でコミュニケーションを取ってほしい・仲良くなってほしいという思惑でリストを作成しました.
そして,もう一つ(淡い期待ではありますが)リストを作成した理由がありました.それは,参加者へのなりすましの防止です.

昨年度の話

Twitter上にて,seccamp2017の修了生を名乗る人物が,イベントに来ていたダークウェブの研究者を盗撮したとツイートし,一部の界隈で話題になりました. (該当のアカウントは現在削除されています)
これがもし本当に修了生が行なったことであれば大問題です.
信じたくない気持ちが多くあったのもあり,彼のツイートを遡ってseccamp開催当時のものを確認しました.
確認後,一つ仮説を立てることにしました.
bioにseccampのことを書き, #seccampハッシュタグをつけていいタイミングでツイートをすれば,seccampの参加者になりすませるのではないか?という仮説です.

リストの作成

合格当初からアカウントのツイートを確認してリストにinしておけば,ある程度怪しいアカウントを弾ける(ハッシュタグをつけたなりすましを見極められる)のではないか?
ということや,上記のようなコミュニケーションを取ってほしいという理由で,三つのリストを全て手動でアカウントを確認してリストを作成しました.
手動であるが故に取り漏らして参加者の方にアカウント追加のお願いをいただくこともありました.(その節はありがとうございます)
結果的に,現在リストに怪しいアカウントは含まれていないように思います.私が観測できていないだけかもしれませんが...

後悔

怪しいアカウントの含まれていない,参加者のみのリストを作ることができたということは,コンタクトの取れる参加者のリストが外部からも手に入れることができる,という観点が抜けていました.
本件でご迷惑をおかけした方がいらっしゃったら大変申し訳なく思います.
リストは現在非公開にしました.今後このようなリストを作るべきかは検討したい課題です.

観測したこと

ある時, 以前アカウントを消去された方のID でその方とは思われないツイートをするアカウントを見つけました.
フォローリストを見ると上記で作成したリストのアカウントが大半でした.
ツイート内容をよく見ていると,怪しいアカウントと同じようなツイートがされているように思いました.

その方のことをよく知らないだけで,実際は違うのかもしれないとしばらく観察していたのですが,本人に聞いてみないと真実はわからないと思い,そのIDを本来持っていた方に連絡をとることにしました.
連絡をとった結果,そのアカウントはなりすましであることが判明しました.
こちらのアカウントも現在は凍結の末に削除されています.

怪しいアカウントと同じような,とは

これを具体的に書けないのが悩ましいところで...
書ける範囲だと下記のような特徴があると思います.

  • フォローフォロワー外からもDMを送ることができる
  • 日本語が不自由
  • セキュリティ

しかし,これを共有させていただいたところで今度はこれに合致しないアカウントが作成されると思います.
結局のところ目で見極めるのは難しく,自己防衛をとるのが得策です.

確認してほしいこと

会ったこともない(実体が確認できない)アカウントとDM上で機密性の高いやりとりをしていませんか?
会ったことのある人のアカウントであるとしても,それは本当に本人であると確認できますか?

また,外部公開された場所に特徴量のとられやすい投稿(名前,住所,性別,最寄りの路線,勤務先・学校,過去行った場所,性癖,etc)を多数行なっていませんか?
なりすますにはある程度情報量が必要です.ご自身のアカウントが現在なりすましを生みやすい状態かどうか確認してみていただきたいです.

逆に,ご自身にしかできない投稿を定期的に行なう(技術的な投稿など)のはなりすましを生みにくくする一種の手段として有効だと思います.
根本的な解決方法はなかなかない.もしなりすましが現れたときに,なりすまされたメディアとは別のメディアで証明をとることは僅かながらに有効かと思われます.
投稿内容に嘘を混ぜておくなどもやっておくと良いのかもしれません.

ご協力お願いします

ソーシャルメディアをお辞めになる際はIDを温存した状態にしていただけると有難いです.
また以前活発に活動されていたアカウントIDで現在消去されているものが復活するようなことがあれば,もしよければご一報ください.

考察

昨年の記事ですが,下記のような記事があります.

wired.jp

ニートラップ,とまではいかないですが,今後このようなセキュリティ系のアカウントを狙った情報収集活動が広まるかもしれないと感じました.
また,なりすましと言えど現段階ではまだ,なりすまされている本人を知っていれば見破ることができますが,今後はどうなるかわからないです.
杞憂に終わると良いのですが,皆様どうかお気をつけください.

このブログは気の迷いで成り立つ予定です:)