2013-08-27

twitterの不正アカウント市場の調査と対策に関する論文

USENIX Security Symposium で発表されたらしい Trafficking Fraudulent Accounts: The Role of the Underground Market in Twitter Spam and Abuse (PDF) という論文を読みましたが、かなり面白かった。

twitterやFacebook、Googleなどについてニセのアカウントを大量に作って販売している業者がいるらしい。で、実際に twitter のアカウントを販売している業者27社と1万を超えるアカウントのやりとりをすることでその実態を調査しました、彼らのやり口に対する対策について検討しました、という論文です。著者の一部が twitter の中の人であり、twitter の内部情報がないとわからないようなデータにもとづいて業者の傾向なんかも分析していたりしています。

詳細は原文で当たってほしいところなのですが、個人的に面白かったポイントとしては、

  • Facebook や Google のアカウントも売られている。 Phone verified account といって、実際に電話での本人確認を済ませたアカウントというのもあり、それは割高。ウクライナやエストニアの電話番号が紐付いている
  • あまり「同一のIPアドレスから多量のアカウント作成」のような単純な手口は取っていない
  • 登録時のIPアドレス(内部情報)を調査したところ、上位10カ国はインド、ウクライナ、トルコ、タイ、メキシコ、ベトナム、インドネシア、パキスタン、日本、ベラルーシ。日本入るんだ……
  • ただし最多のインドでもたった8.5%、上位10カ国をぜんぶ足しても過半数にならない。それぐらいバラバラ
  • CAPTCHAは機械的に解いている業者と人手でコストをかける業者とがあるっぽい。twitterは同一IPから多数のアカウント作成をするとスロットリングされてCAPTCHAも必要になるとのこと
対策案としては、けっこう後ろ向きで、ようは作成のコストをかけさせるには、といった話。コストがかかればそれだけ単価も上がり、商売としてもやりにくくなる、という理屈みたい。たとえばよくあるような手間をかけさせる手段であるような、メールで確認したり、CAPTCHAをやらせたり、SMSで認証させたり。これらの手法はそれぞれ単価を上げる効果がある。たとえば、メールの場合は、認証するためのメールアドレスというのも、hotmailとかmail.ruとかのアドレスをどこかから購入するので、その分のコストが単価には反映せざるをえない、といったふうに。

論文後半は、登録時に業者っぽいアカウント作成パターンを自動検出してBANする方法について検討しているんだけど、やりとりしていた業者に特有なアカウント名や姓名などのパターンって言っていて、あんまりいいアプローチじゃないんじゃないかなぁ、と思った(このへんはきちんと読んでないので誤解しているかもしれない)。ただ実際にはかなりうまくマッチしたみたいで一瞬、業者を営業停止に追い込んだみたいだけど、2週間ぐらいしたら戻ってしまいました、みたいなことが書いてあったり。いたちごっこの感は拭えないかも。