性的なツイートでアダルトサイトへ誘導する9万ものTwitterボットからなるネットワーク「SIREN」

アダルトサイトにURLリンクで誘導する9万アカウントを超える巨大なボットネットワーク「SIREN」がTwitter上で発見されました。SIREN自体は誘導リンクからの収益を目的としたボットの集合体ですが、SNS上のボット集合体はマルウェアやフィッシング詐欺への悪用も懸念されています。

Inside the Massive SIREN Social Network Spam Botnet | ZeroFOX
https://www.zerofox.com/blog/inside-massive-siren-social-network-spam-botnet/

セキュリティ対策企業のZeroFOXが、Twitter上に形成された巨大なボットの集合体「SIREN」を発見しました。SIRENを構成するボットネットの数は9万アカウントに上り、これまでに850万件を超えるツイートを行っていたとのこと。

スパム対策を施すTwitterの目をくぐり抜けるために、SIRENのボットでは出会い系サイトやポルノサイトどのアダルトサイトへの誘導には、GoogleのURL短縮サービス「Google URL Shortener」が使用されているという特徴があります。なお、SIREN関連ツイートに記載されたURLは、合計で3000万回以上クリックされていることが判明しています。

ZeroFOXによると、SIRENを構成するボットによる偽アカウントのツイートには、「露骨な性的フレーズ(ファーストフレーズ)」「感嘆符」「URLをクリックさせるフレーズ(セカンドフレーズ)」「短縮URL」で成り立っており、すべて自動生成されたものだと考えられています。

ファーストフレーズには26種類があり、これらの特徴的なフレーズは大文字の使い方まで含めてすべて同一だったとのこと。ファーストフレーズの一覧は以下の通りで、中でも「What vulgar, young man(なんていやらしいコ) 」や、「Boys like you, my figure?(あなたみたいなコ、私のお気に入りかしら)」などのフレーズが、定番だった模様。

セカンドフレーズは「Push, don't be shy(恥ずかしがらずにクリックして)」「Let's have a chat(チャットしましょ)」などのフレーズが人気だったようです。

1日分のフレーズ出現頻度を見ると、いくつかのパターンが同じ回数つぶやかれたことが分かります。

GoogleのURL短縮サービスgoo.golのURLがリダイレクトされた場合、リクエスト元がPythonのライブラリやcURLなどの自動化されたプログラムから来ている場合はTwitterやGoogleに接続を戻し、ユーザーが人間だと判断した場合のみ、最終的な目的地であるURLに接続していたとのこと。リダイレクトを駆使することでリンク先を難読化させつつ、TwitterやGoogleのスパム対策サービスを避けているSIRENの各アカウントは、一部のリンクが削除された場合、別のリンクをすばやく追加するリダイレクトのインフラをも備えていたとZeroFOXは明らかにしています。

以下は、SIRENのボットアカウントのデフォルト言語の割合を示すグラフ。英語に次いで、ロシア語の割合が高いことが分かります。また、12.5％がユーザーネームにロシア人女性で用いるキリル文字をアルファベットにした表記があり、たどたどしい英語のツイートも合わせると、SIRENの背後には東ヨーロッパの組織があるとZeroFOXは分析しています。

ZeroFOXはTwitterにSIREN関連のTwitterアカウント情報を報告し、Googleセキュリティチームにも関連する短縮URLをすべて報告済みで、Twitterは該当ボットアカウントを凍結し、GoogleはlongUrlドメインをブラックリストに追加したそうです。

SIRENの目的はアダルトサイトへの誘導で明白な詐欺やマルウェアとしての活動は見られなかったとのこと。ただし、SNSでボットネットワークを組んで悪意ある攻撃を行う、という同様の手法が今後も用いられる可能性をZeroFOXは指摘しています。