はじめに閲覧されるべきもの

大切なことを書いたり、書かなかったりします。

煮るなり焼くなり好きにして

表参道


twitterのDMでなんか英文とかのスパムが飛んでくることがあります。
どういう経緯でスパムが飛んできてるんだろう?

  1. 知り合いから飛んできたDMを見てしまった!
  2. DMに記載されているURLのサイトを開いてしまった!
  3. URLにて誘導されたtwitter認証にそっくりなフィッシングサイトに対してtwitterのアカウント名とパスワードを入力してしまった!


で、twitterのアカウント名とパスワードを盗み取られて更に自分のフォロワーにDMスパムが送られちゃうという流れかなぁ。
うーん。
これって、どうやったら防げるんだろう?


実際にスパマーの人に聞いてみた。


せっかくなのでスパムDMを送って下さった原因に何か心当たりなどありましたら教えて欲しいです。 #変なDMに興味を持ってみるlink


知り合いから飛んできたDMを見てしまった!派


@takashi0314 面識ある友人からのDMだったので、不用意にも開けてしまいました...大変失礼致しました(´Д` )link

@hajime2e 尊敬する人からだったもので、英語でも開けちゃいました。すいませんでした…。link

@hajime2e 私の場合は、Twitter上でよいやりとりが出来た方からのDMでした。だから信じてしまったのかもと反省してます。(まさか今日になってからとは思いませんでした)link


対策: 知り合いから飛んできたDMを見ない。


いや、この対策無理でしょ。
それって『DMを一切見ない!』ってことでしょ。
まぁ、僕の場合は飛んでくるDMはほぼ100%スパムなので
DMを一切使用しなくても何の支障もないのですが、
将来的にtwitter女子と個別にDMでイチャイチャしたり
出来なくなっちゃうじゃないですか…。


だから、知り合いから飛んできたDMを見るっていうのは仕方のないことだと思いますので、皆さん、謝らないで下さい…。


なんか、聞いた人たちにすっごい謝られた…。
傷口に塩を塗るような真似をしてすいません…。
更にこんなところで晒してすいません…。
(OPENにすることで更なる被害が減少できれば、と思っています。)


DMに記載されているURLのサイトを開いてしまった!派


@hajime2e
私も初めてのスパムでしたので驚きました。思い当たるのは、金曜日にやはりあるフォローしてくださっている方からDMがあり、意味がわからずクリックしたことが原因だったのかと思います。気を付けます。
link

@hajime2e 送ったそのままのDMが友達からきたのでアクセスしてしまいました( ´ ` )その連鎖だと思います!link


対策: DMに記載されているURLのサイトを開かない。


この対策も無理でしょ。
DMに記載されているURLのサイトを開くこと自体は仕方ないことだと思います。
『DMで紹介されたURLいっさい見ない!』っていうのも何か悲しいですよね。


でも、たぶん一般的にリテラシーの高いといわれる人はこの対策を打ってるんだと思います。


『知り合いからのDMだけど英語の文章だしなんか怪しいから見るの止めとく!』


でも、日本語のスパムが出てきたらどうなんだろう?
巧妙になりすまされた文脈だったら判断できるだろうか?


コンテキストを感性評価で判断している限り、対策としては不十分だと思っています。
この知り合いの人がこんなDMを送るはずがない!とか考え続けるのもつらい…。
ミステリアスで意外性のあるtwitter女子と怖くてDMできなくなっちゃいます…。


URLにて誘導されたtwitter認証にそっくりなフィッシングサイトに対してtwitterのアカウント名とパスワードを入力してしまった!派


@hajime2e 普通にTwitterと同じようなページですねー…もう引っかからない!link

@hajime2e 知り合いから同じメールが来たんです。英語だからおかしいなとはおもったのですが、とりあえずURLをクリックしてツイッターのパスワードを入れたらご覧の体たらくです。パスワードを入れるサイトがニセモノだったのかもしれません。ご迷惑をおかけしました…。link


対策: twitter認証にそっくりなフィッシングサイトに対してtwitterのアカウント名とパスワードを入力しない。


僕は、これが一番根本的な原因で、しかも実は結構やっかいな問題なんじゃないかなぁと思ってます。
更に不思議なのは、DMスパムに引っかかった人でもこの部分が問題であると認識している人が本当に少ないこと。
現状、相当リテラシーが高い人でもフィッシングに対して万全の対策って取れてないんじゃないかと思います。
(せいぜい『サイトのURLが正しそうか?』『サイトが証明書らしきものを持っているか?』くらい)


うーん。


どうしたらいいんだろう?