2013-08-13

facebookの偽アカウントスパムの問題について

よく話には聞くけれども、僕にも来ました。友達の名前と同じ偽アカウント。比較的ありそうな名前であるので、実際に引っかかってしまった人もちらほらいました。

いい機会なので、この件についていろいろ考えてみました。

偽アカウントとは何か

いろいろ呼び方があるみたいですが、とりあえずここでは「偽アカウント」と呼んでいます。最近はほんと増えている気がするので、「ああ、あれね」とわかった人も多いんじゃないかとおもいますが。

たんに「偽」といえば、もちろん本人ではないということですが、ここでいう場合は(おそらく少数の)業者が何らかの理由で乱造しているアカウント群のことです。男性のしょうもない心理を利用するために、女性の名前を使っていて、多数の男性に無差別に友達申請を行なっていると考えられています。

「彼ら」をおそらく少数であるという推定をしているのは、手口がしだいに変化しているからです。

実際のところ、偽アカウント自体はけっこう前からありました。とはいえ、わかりやすいのは架空の女性を名乗って男性を釣る「釣りアカウント」のようなものだったとおもいます。もっと最近になっての例としては、当初「彼ら」は適当な女性の写真(ネットアイドルや、そういう写真サイトなどから拾ってきたもの)を使っていました。また、同姓同名のアカウントを大量に使っていました(たとえば→この記事は2012年9月でした。同姓同名同写真のまま大量に友達申請していたりしていました。そんな時期もありましたね……)。

今年に入ってから、若干の変化がありました。まず、アイコンに女性の写真を使うのをやめ、アニメや漫画のマスコットキャラなどのプロフィール写真に変わったようでした。また、性別は男性でした。

性別を男性としている理由については、異性への大量の友だち申請がfacebookによって規制されている、ないしはスパムの自動検出に引っかかりやすいからである、という説を目にしましたが、真偽は定かではありません。

また、いくつかの適当なfacebookページをlikeしていました。これも偽物ではない、という効果を高めるための施策であろうと思われます。

名前のバリエーションは増えました。↑のリンク先でも、ほんとうに同姓同名の人から多量のリクエストが来ていたものですが、そういうことはまずなくなりました(数日たったらだいたい忘れているのでかぶっているかもしれませんが)。私見ではありますが、姓と名のかなり大きなリストを持ち、組み合わせているのだろうと思います。

ここ1ヶ月ほどの変化としては、
  • facebookページをlikeするなどの偽装はやめた
  • プロフィール写真に手を入れるのはやめて、男性のデフォルト画像をそのまま使う
  • プロフィール情報を見せないようにして、性別等はわからないようにした
といったところです。おそらく実際に試してみて効果に差がなかったこと、最後の件については「女性の名前だが性別は男性」といった情報も広まっていたし、目に止まりやすかったということがあるのだろうと思います。

もっとも、こういうのはいたちごっこですから、手口は次第に変化していきます。以上は現時点での特徴です。

偽アカウントの友だち申請を許可すると何が問題か

さてそんな偽アカウントですが、何を目的としているのでしょうか。

一説にはアカウント乗っ取りがあると言います。facebookでは友達3人が協力すればアカウントの復帰に必要な手続きが取れる仕組みがあるため、こういう偽アカウントの友だち申請を3回承認しまえば、ほかのメールアドレスに切り替えてパスワード再設定、という組み合わせによってアカウントを奪うことができるというものです。

真偽はさておき、この場合は偽アカウントの問題はけっこう緩和されるといってもいいでしょう。うっかり友達申請しちゃった!といってもすぐアウトなわけではなくて、スリーストライクまではアウトになりません。とはいえ、うっかり間違えたらきちんと解除をしたりしないと、あとあとで問題が残る危険性があります。

もう一つの問題はプロフィール情報の奪取です。

といっても、ようするに「友だちのみ」に見せている情報が筒抜けになってしまう、という話です。自分でfacebookに登録しておいた情報の話ではありますが、プロフィールにはメールアドレスや電話番号、skypeのidなど様々な情報を載せることができます。友達にだけ教えているつもりが、スパマーには筒抜けになってしまっている、ということです。また、友達にタグ付けされたことがあれば写真も閲覧できるでしょう。

さらにいうと、公開範囲を「友達の友達」に設定している場合、自分だけが注意しても効果は特になく、自分の友達の誰かがこういうミスをした場合に流出することになります(たとえば、住んでいる市の名前など、それほどの被害はないかもしれないけれども個人に関わり、一般公開していない情報は、わりとこういう公開範囲にしてたりするかもしれません)。

わたし個人としては、後者の問題のほうが本来の狙いなのではないか、と思っています。思っていますが、いずれにせよこういった2つの問題があるということです。

偽アカウントの問題について僕らは何をすべきか

当たり前の話ですが、見ず知らず、しかもプロフィールに何も書かれてなくてどこの誰かもわからないような人からの友だち申請は断るべきだ、ということです。これは当然の原則です。

しかし、そうは言っても何らかの事情でそういうことに気づかず、間違って承認してしまうということはあります。これはまあ、気をつけて生活をしていてもそういう季節になれば一定の確率で風邪をひく、というようなものです。注意するのは大事ですが、間違いは必ず起こるということです。

間違って行った承認は、直ちに解除するのも大事です。ほっとくと忘れてしまいがちですし、そうなれば偽アカウントが溜まってしまい、乗っ取られる危険性があるかもしれません。また、友だち申請とその受理がどれぐらいの頻度で行われているかにもよりますが、承認をしてから解除するまでの時間が短いほど、個人情報を抜き取られる確率も、量も、(理論的には)下がります。

個人情報について気を使う場合は、電話番号やメールアドレスなど知られたくない情報は入れておかない、といった自衛策もあるかもしれません。電話番号やメールアドレス入れるのは、けっこう便利な場合もあるんですけどね……。

また、「友達の友達」までという公開範囲にはあまり意味はなく、スパマーには筒抜けになっていると考えたほうが良いでしょう。

偽アカウントからの友だち申請については、申請を削除するのが基本ですが、同時にアカウントを報告したほうが良いのではないか、と個人的には思っています。アカウントの報告については「偽アカウントである」という項目があります。本当のところ、絶対確実に偽なのか、というとゼロとは言い切れないよな……と思っていたのですが、実際問題としてあまりにも似た手口のアカウントが多数あるのは確実なので、まあ偽物と言い切って良いと思っています。

facebookのスパム報告の仕組みはわかりませんが、複数の人間から報告があった場合、少なくともアカウントの確認のような手続きはあることだろうと思います。そして、スパマーにとってはきちんとコミュニケーションを取るよりは別な偽アカウントを作ったほうがコストが低いため、たぶんそのまま偽アカウントは停止・削除ということになります。

偶然の一致についてどうすればいいのか

以上の内容は偽アカウントはなんらかの業者が大量作成しているアカウントである、というところがポイントなのであり、実際のところ「なりすまし」かどうかというのはあまり関係はありません。

個人的には、意図的になりすましであることを狙っているわけではない、と思っています。多量の「日本人の姓にありそうな名前リスト」と「日本人女性にありそうな名前リスト」をランダムに組み合わせているのではないか、などと思っています(facebookのプロフィールから、そういう名前リストを取ってきている可能性はあるかも)。

なぜそう思うかというと、知り合いと同姓同名の偽アカウントから友達申請がきたな―、などと思っていたら、本人にも行っていた(笑)ということがわかったからです。なりすましを装うのであれば、少なくとも本人には行かないのではないでしょうか。

ただし、ランダム生成したものから「あれ、コイツfacebookはじめたのかな?」という勘違いが発生することを狙っているのだろう、とぼくは思っています。だから、まあ、なりすましといえばなりすましなのかもしれませんね。誰か一人が勘違いで友達申請を承認してしまうと「あいつが共通の友達なんだからこれは本物だ」という誤解が生じやすく、さらに問題は加速されることでしょう。

ぼくが問題に遭遇した場合、同姓同名の本物のほうとはすでに友達になっていました。なのでいちおう検索して友達として残っていることを確認できました。そうでない場合(しかもfacebookにアカウントを持っているかわからない場合)、確認は非常に困難であろうと思います。

でもまあその場合、いったん待ってみればいいんじゃないでしょうか。もしかしたらほんとうにfacebookのアカウントをつくりたてで、プロフィールが全然ないのかもしれません。でもそうだとすれば、数日もすれば少なくとも写真や、基本的な情報(性別など)は入ってくるはずです。何らかの投稿もするだろうし、なんらかの項目にはlikeしていくはずです。それを見れば本人かどうかの判断はつくでしょう。またもし、相手がそういうことをしない人であったとするならば、facebookのアカウントを作っては見たものの使う予定はないということなので、友達にならなかったとしても、とくになんの支障もないのではないでしょうか。

まあ、本当に気になるなら、別のチャネルから聞いてみれば良いと思いますけどね。メールとか、twitterのDMとか。

それにしても現状はどうにかならないのか

にしたって、現状がわかったところでうんざりさせられるところは変わりません。どうにかならんものでしょうか。

これってスパムメールと一緒だなーとつくづく思ったのは、善意によって成り立っているところに少数の不正利用によって問題が生じているということです(そういえばブルース・シュナイアーの Liars and outliers も似たようなテーマだったな)。あまりにもスパムが過剰になれば、みんなうんざりして使うのをやめたりして、結局スパマーには利益がないのですが、短期的には効果のある戦略だということです。

個人個人で注意しましょう、というのは大事なんですが、根本的な解決策とも言いがたいものがあります。

どうしたものか、どうにかなってくれるとありがたい、のですが、妙案があるわけでもなく、ぐちでおしまいなんですが、どうにかならんものですかねえ。