Blueskyの「ドメインを用いた本人証明システム」が悪用され「著名人の名前でドメインを取得して本物に買取りを要求する」という事件が発生

Blueskyではドメイン名をハンドルネームとして設定することで本人であることを証明できます。この仕組みを逆手に取って、「著名人の名前でドメインを取得してドメインの買取りを要求する」という悪質な行為が発生していることが明らかになりました。

So, Bluesky Has An Extortion Problem
https://tedium.co/2024/12/17/bluesky-impersonation-risks/

自身が所有するドメインをBlueskyのハンドルネームとして登録する手順は次の通り。まず、設定画面からハンドルネーム変更画面を開いて「自分のドメインを持っています」と記されたボタンをクリックします。

すると、DNSレコードが表示されるので、自分のドメインの設定でDNSレコードを追加すればドメインをハンドルネームとして利用できます。ドメインの設定にアクセスできるのはドメインの所有者だけなので、「このアカウントはこのドメインの所有者のアカウントである」ということを証明できるというわけです。

例えば、GIGAZINEのBlueskyアカウントはハンドルネームとして「gigazine.net」を使っています。これにより、「GIGAZINEの公式サイトのURL(https://gigazine.net/)と一致しているから、本物のGIGAZINEアカウントだ」ということがユーザーに伝わります。

しかし、ニュースサイトや個人のウェブサイトのドメインを正確に把握している人はそれほど多くありません。例えば「Wikipedia」というサービス自体は有名ですが、ドメインが「wikipedia.org」だということを認識している人は多くないため、「wikipedia.○○」というドメインを取得すればなりすましが可能となるわけです。Wikipediaは著名なウェブサイトなので時間の経過とともに偽物アカウントであることがバレると思われますが、個人のウェブサイトの場合はなりすましに気付かれる可能性が低くなります。

この本人証明システムを逆手にとった脅迫事件が発生しました。被害に遭ったのはBloombergのコラムニストであるコナー・セン氏です。

セン氏は「conorsen.bsky.social」というハンドルネームでBlueskyを使っていましたが、2024年12月17日に「conorsen.com」というドメインを取得した何者かから「あなたの名前でドメインを取得した。あなたはドメインを取引するか何もしないか選択できる」というメッセージを受け取りました。「conorsen.com」を取得した犯人は表示名を「Conor Sen」に設定し、アイコンも本物と同じものに設定しています。つまり、犯人は「なりすまし状態をやめてほしければ、ドメインを買取れ」と脅迫しているというわけです。

さらに、有名ポッドキャスターのサム・パー氏になりすました偽アカウントが「セン氏は取引に応じるべきだ。オンラインで稼いでいるなら、ドメイン購入は正当な対価だ」と投稿。この時、パー氏の偽物は「conorsen.com」へのリンクも投稿しています。なお、「conorsen.com」はニュースレターの配信を装ってメールアドレスを収集していたとのこと。

これを受けて、本物のパー氏はBluesky運営チームに対して偽物を削除するように求めています。ところが、海外メディアのTediumによると、Bluesky運営チームでは偽物ではなく本物のパー氏を一時的にブロックしてしまったそうです。

その後、セン氏とパー氏の偽アカウントはどちらもブロックされました。

ドメイン認証を悪用した脅迫事件が発生したことを受けて、Tediumは「Blueskyはドメインでの本人証明を重視しているが、実際にはドメインを悪用したなりすまし詐欺やサイバースクワッティングが発生している。これらの解決は困難で、法制度の利用が必要になる可能性もある」と指摘し、本人証明システムの見直しを求めています。

なお、Blueskyは2024年11月30日にポリシーを更新し、なりすましアカウントやサイバースクワッティングを目的としたアカウントを厳格に削除する方針を表明しています。

Blueskyがなりすましアカウントやパロディアカウントに対する方針をアップデート、偽物であることが明記されていない場合は削除 - GIGAZINE