Twitterが偽アカウントの「大規模ネットワーク」を停止

米国時間2月3日、Twitterは「偽アカウントの大規模ネットワーク」および「さまざまな国に存在する」数多くの偽アカウントを、この週末に削除したことを発表した。彼らは電話番号とユーザーアカウントをマッチングする機能を悪用していた。

TechCrunchはこの問題を昨年12月24日に取り上げたが、その日はTwitterが悪用の存在に気づいた日でもあった。セキュリティー研究者のIbrahim Balic「イブラハム・バリック)氏は、TwitterのAndroidアプリにバグがあり、同氏が公式APIを通じて数百万件の電話番号を送ったところ、関連するユーザーアカウントを取得できたことを報告した。

この機能の意図していた用途は、自分の番号を知っている友達にTwitterアカウントを見つけてもらうためだった。しかし、数百万件の番号を送るのは明らかに想定された利用方法を超えていた。

この機能をオフにしておけば、このバグの影響を受けることはない。EU圏のユーザーにとっては幸いなことに、この機能がオプトインになっている。しかし、それ以外の国々ではオプトアウトが必要だ。つまり、電話番号をアカウントに結びつけている人は(オフにしない限り)影響を受ける。

しかも、電話番号の中には2要素認証に使われているものもあるため、EU圏外のユーザーは知らない間にこの被害にあう脆弱性がある。

関連記事:Twitter admits it used two-factor phone numbers and emails for serving targeted ads

Twitterが警告を受け、ベリック氏のものされる問題のネットワークを閉鎖したあと、同社の調査チームはこの欠陥を悪用しているアカウントを大量に発見したが、その数については明らかにしていない。

「当社は、イラン、イスラエル、マレーシアの特定IPアドレスから、特に大量のリクエストが送られていることを発見した」と同社はセキュリティー文書に書いた。「これらのIPアドレスの中には、国家が支援する組織とつながりのあるものが存在する可能性がある」。

この疑念は、イランのIPアドレスからTwitterに対して制限されていないアクセスが見られたことでも裏付けられる。イランではTwitterのアクセスは制限を受けていることから、この事実は政府の関与を示唆している。ベリック氏はTechCrunchの質問に対して、自分の行為はいかなる国家の支援も受けていないと答えた。

同機能を乱用していることが疑われるアカウントはすべて停止されており、API自体もこの種の悪用を防ぐための修正が施されている。TechCrunchはTwitterに、停止されたアカウント数を尋ねている。

昨年Twitterは、ユーザーデータの露出と漏洩の事象がいくつもあった。さらにTwitterは、広告パートナーにユーザーデータを渡しすぎたことに加えて、2要素認証のための電話番号をターゲット広告に利用した事実も認めた。

[原文へ]

(翻訳:Nob Takahashi / facebook

ソックパペット(自作自演のアカウント群)を科学の力であぶり出す

これまでウェブサイトのコメント欄に書き込んだり、フォーラムやソーシャルメディアである程度時間を過ごしたことがあるのなら、おそらくソックパペット(sockpuppets:元の意味はソックスで作った簡単な指人形という意味)に出会ったことがあるだろう。これは1人の人間によって操られている偽のアカウント群のことである。あなたがそのときには気が付いていなかったこともあり得る。新しい研究が、こうした過剰なコメンテーターたちを自動的に識別することを可能にするかもしれない。これはウェブ上で正気の議論を行うためには良いニュースだ。

メリーランド大学のSrijan Kumarは、ソックパペットアカウントについて、それらが登録したユーザー名同士で書き込みを行ったりやり取りをした内容に関して、徹底的な静的統計分析を行うチームを率いてきた。彼らの発見はパースで開催されたWorld Wide Web Conferenceで、今週発表された。

データはコメントプラットフォームとしてDisqusを使用するサイトから集められた。同社からは「9つのコミュニティの、289万7847人の利用者による、212万9355件のトピックと6274万4175件の投稿」のユーザーアクティビティの完全なトレースが提供された。

研究チームはそれ自身興味深いソックパペットの特性を発見したが、同時にそれらを識別するために役立つ発見も行った。そうしたアカウントは、同時に同じスレッド内でアクティブになる傾向にあるが、自分自身で新しい議論を始めることは殆ど無い。それらのユーザー名は大きく異なっているが、アカウントのメールアドレスはしばしば同一である。そして、彼らは普通のユーザーとは区別される特定の言語的特徴を持っている。より多くの”I”と”you”を使い、一般に悪い文法を使うのだ。そして彼らは多くの場合、時事問題に注意を向けている。

これら(と更に多数の)要素を測定することで、チームはあるアカウントがソックパペットであるかをその時点で3分の2の精度で見抜くことができた。しかしもっと興味深いことは、2つのアカウントが同じ「パペットマスター(人形使い)」に属しているかどうかを91パーセントの精度で決定できたということだ。

記事トップのイラストにはAV Clubでのコメントが視覚化されている。青い点は普通のユーザーで、赤い点がソックパペットだ。ソックパペット同士は頻繁にやりとりを行うためクラスターを形成する傾向がある。また彼らはより活発に活動するため、より中心に位置している。

まだソックパペットの正体を自動的に暴くまでには達していないものの、このデータ(公開されているものに加えて、Disqusと共有されているものがあるに違いない)は、モデレータや管理人に対して、オンライン議論の混乱を鎮めるための判断材料を提供することだろう。ほどなくコメントを読むことも安全になるかもしれない…し、ならないかもしれない。

もしソックパペットに関して発見された他の側面について興味がある場合には、ここで論文のフルバージョンを読むことができる。統計の話はさておくとしても、とても読みやすい論文だ。

[ 原文へ ]
(翻訳:Sako)