※追記
はてなプロフィールのお気に入り機能が削除された結果、スパマーは代わりにはてなブックマークのお気に入り機能を使うようになった模様。
前にこんな記事を書いた。
はてなプロフィールの「お気に入り」機能を利用したSPAMが蔓延してると。
はてなプロフィールの自己紹介欄にアダルトサイトらしいURLと英文の煽り文句を記載し、お気に入りのお気に入りをたどってどんどんお気に入り登録を追加。
私の方は、お気に入りに追加されたことが通知されて気がつき、見に行ったらアダルトサイトを宣伝するアカウントだった……というもの。
(なぜかごく一部のアカウントからしか通知が来なかったので、なかなかSPAMの存在に気が付かなかったんだけど)
これが5月8日の記事。
https://t.co/nT5UQvc7kI
— 無謀庵 (@Mubouan) August 8, 2019
うーん、はてなプロフィールを使ったSPAMがまだ来るのだが、何がおきてるんだろう。多数のはてなのアカウントが乗っ取られてるように思えるんやが……
一応はてなに報告もしたけれど。
3ヶ月後の8月8日時点でも、はてなプロフィールSPAMは継続していた。
で、8月27日にはてなプロフィールのお気に入り機能が削除された。
これによって、このSPAM問題は一応解決はした。(機能削除の理由はSPAM対策とは関係のないことなので、SPAMが解決するのは偶然ともいえるけれど)
けれど、この対応でよかったのかなあ、と疑問がある。
SPAMを行っているのは新規ではなく既存アカウントだった
前の記事にも書いたけれど、今回のSPAMは、新規アカウントではなく既存のアカウントを乗っ取る形で行われていた。
そんなことができていたとなると、
というふたつが、私にも思いつく理由だ。どっちだったとしても私にも影響しかねなくて気味が悪い。
まあ、パスワード流出に近いものとして、「他サービスから流出したID・パスワードではてなにログイン試行され、パスワードを使いまわしていたためにログインされた」という線もあるか。
これだったらまあ、私はパスワード使い回さないので被害は免れるし、ユーザーサイドの問題だからはてな側にはどうしようもないけれど。
はてなプロフィールにSPAMがあること、アカウント乗っ取りのように見えることは、はてなの直接問い合わせから送ってあるんだけど、返答がない。8月8日に送ったはず。
なぜか騒ぎにならない
どういうわけか、はてなプロフィールのSPAMについて騒ぎになってない。SPAMがあった事自体気付かれてない感じ。
いやまあ、はてなプロフィールのお気に入り機能なんて、正直使う人が限られていた。私もSPAMに気付くのが遅れるくらいの機能だ。みんな「どうでもいい」と思うのはわかるんだけど。
スパマーの方が、なぜこんなマイナー機能に目をつけてSPAMをやってたのか、私にはさっぱり理解できないくらい。
もしはてなのログインID・パスワード自体が流出あるいはクラックされていたとして、SPAMの効果を狙うなら、はてなブログとかブックマークとかの目立つ機能を使いそうなものだ。それがなんではてなプロフィールなんだろう。
また、知名度のあるはてなユーザーが、自分のアカウントに不正にログインされてたりしたら、それはそれで本人がブログに記事書いたりしそうにも思える。そんなネタなら多分はてな的に盛り上がりそうだから、目につくようにも思う。
けれど、私の見る限りではそういうのもない。
まさか、騒ぎそうなユーザーは避けて、ほとんど放棄されているIDだけ狙ってしかけたんだろうか。どうやってそんな見分けをするのかわからないが。
パス流出ではないとするなら、はてなプロフィールに外部から操作されるセキュリティホールがあったんだろうか。
その場合、今回のスパマーがやってたのが「プロフィールの書き換え」と「お気に入り追加」だったので、お気に入り機能が削除された今でも、プロフィールを勝手に書き換えられる不安は残る。
また、アクティブにはてなを使ってる人が書き換え被害を受けたら、それをはてなブログやなんかで騒ぎ立てそうなもんだけど、これも私には見つけられない。
仮に最終ログイン日などを確認して、使われてないアカウントだけ狙ってるようなことをしてるとすれば、それができるところまでアカウントの情報を覗ける状態ってことになっちゃうな。
何にせよ、気味が悪いのは変わらない。
何があったかわからないまま蓋をされた感じ
まあ、SPAMがSPAMとして効果を発揮しそうにない変なSPAMだったから、あまり気付かれてもいない。気付いて、気持ち悪いと思ってるのは私くらいなのかもしれない。
しかし、あんな変なSPAMでも、あれが可能になるには流出なりクラッキングがあるようには思うのだ。
「はてなプロフィールのお気に入り機能削除」ということで、今起きてるSPAMは続行不能にはなった。
けれど、機能削除をした理由にSPAMは挙げられていないし、SPAMへの対応としては対症療法的で、流出やクラッキングが起きてるんじゃないかという不安は解消されない。
もうちょっと、何があったか言ってくれんものかな。対応中なら対応中というだけでもいいんだけど、現状じゃそもそもSPAMが広まっていたという認識があるのかすらわからない。
※追記 はてなブックマークのお気に入り機能に移行したらしい
こんな通知が来ていて。
はてブはごくたまにしか使っていないのだけど、お気に入られリストを見ると、確かにid:shota921がいる。
試しにプロフィールに飛んでみると、やはりエロサイトへの誘導らしい英文とURL。
はてなプロフィールのお気に入り機能がなくなって、はてブのお気に入りに切り替えたようだ。
お気に入り・お気に入られをたどってみると、芋づる式にSPAMに使われているアカウントが見つかる。
ただ、SPAMっぽいのにはてなプロフィールが404になるアカウントも見られ、このへんは意図がよくわからない。