Twitterアカウントを乗っ取った悪質な広告が出回る、乗っ取られた本人は気づかないその仕組みとは？

by PhotoMIX-Company

Twitterが一部のユーザーに対してより多くの広告を表示する実験を行っており、その広告の質があまりにも低いとして、2019年5月22日ごろから多くの批判を受けていました。しかし、これとはまた別に、Twitterに「ユーザーのアカウントを乗っ取った詐欺広告が出回っている」ことをイギリス人ハッカーが明らかにしました。

Warning – do not click on Twitter ads – Terence Eden’s Blog
https://shkspr.mobi/blog/2019/05/warning-do-not-click-on-twitter-ads/

イギリス人ハッカーのテレンス・エデンさんが発見した広告とは以下のようなもの。ツイートの左下部に「Promoted」と表示されており、一見すると「queryindx.com」というサイトの広告に見えます。しかし、リンクをクリックすると……

表示されたロゴはデイリー・ミラーのもの。

そしてページ中には「Register Here And Start Profiting!」の文字。ユーザー情報を搾取しようとする質の低い詐欺サイトとなっていたわけです。

以下のような感じでMirrorのロゴはそのままに個人情報の入力フォームが展開されます。

エデンさんは「このような宣伝は手動レビューをまず通らないし、自動化されたツールでも検知することが可能です。Twitterは完全に居眠りをしている」と指摘しました。

なぜエデンさんがこのような詐欺サイトに気づいたのかというと、そのきっかけは以下のツイート。「@Fishblogger」というユーザーはqueryindx.comを紹介する自分のツイートに続ける形で「こんなツイート知らない！なんでこんなことが起きているの？ザ・ロックについてこれは私のツイートではありません。クリックベイトでしょうか？」と記しています。このツイートを見てエデンさんは「誰かが他人のアカウントを乗っ取ってスパム広告を流している」ということに気づいたわけです。

もともと上記のような「ユーザー本人のタイムラインに表示されないツイート」は正規のユーザーにも利用されていました。例えばAppleは以下のようなプロモツイートをいくつも流していますが……

実際にAppleのTwitterアカウントをのぞいてみると、プロモツイートは通常のツイートとは別枠なので本人のタイムラインに表示されず、過去のツイート自体1件もありません。@Fishbloggerというユーザーのアカウントを利用した広告も、この仕組みによるものとのこと。

本人のタイムラインに表示されないので、フォロワーも異変を感じず、ほとんどの場合に本人が乗っ取りに気づくことはありません。本人が気づくのは、乗っ取りツイートにリプライがついた場合のみとのこと。しかも、プロモツイートはTwitter Ad Platformでのみ扱えるので、例え本人が乗っ取りツイートに気づいたとしても、ほとんどのユーザーはどのように削除できるかがわからないそうです。

一方で、「一見すると正式なニュースサイトの記事へのリンクに見えるが、クリックすると悪意あるサイトにリダイレクトされる」というような広告ツイートも、2019年3月の時点で既に報告されていました。以下の投稿はCNNの記事にリンクされていると思いきや……

クリックするとお金もうけを示唆する「escalatingprices.com」という別のサイトにリダイレクトされます。しかも、正式なニュースサイトにみせるため、記事には偽のコメント欄もついているそうです。

エデンさんがCard Validatorで確認したところ、「TwitterからCNNにリダイレクトされている」という記述が書かれていたとのこと。しかし、実際にはCNN以外にリダイレクトされていたことから、「Twitterの広告システムはユーザーを誤解させるようなシステムになっている」とエデンさんは述べました。

このような状況を受けて、エデンさんは「Twitterが広告を手動でレビューすること」「広告主が自分が所有するドメインにリンクしていることを確認すること」「広告を買う人が2段階認証を行うこと」を解決策として挙げています。