概要
「保安:GNU social JP Wiki、Misskey.io、Misskey系サーバーへのスパムと荒らし共栄圏からの攻撃? | GNU social JP Web」で前回紹介した荒らしとスパムの内、2024-02-15T23:00+09 Thu頃から発生したスパムの被害が拡大しており、当初の荒らしとは別人物の仕業の可能性が高く感じたので、別記事で続報として紹介します。
内容としては、「保安: 分散SNSでの無差別フォロー・メンション・再帰取得によるDDoS攻撃 | GNU social JP Web」「保安:Misskey.ioへの大量フォローとDDoS攻撃 | GNU social JP Web」「保安: mastodon.socialへの大量スパム登録 | GNU social JP Web」などで過去に複数回紹介した、一般登録サーバーへの無差別登録、メンション攻撃です。やっていることは同じです。ただ、今回は普段は標的にならないような、中小規模サーバーもターゲットになったことから、利害関係者が増えてコミュニティーとしては大きな話題になったようです。
2/15 Thu 23:00+09:00頃に始まり、2/16 Friに騒動がピークになり、2024-02-17 Satになってからは、対策が一通りなされて、スパム攻撃はいったん沈静化した感があります。が、公開メールの悪用はまだ少し続いているようです。当初、Misskey中心で始まり、その後Mastodonなどにも波及したものの、メールの悪用など、どちらかというとMisskey系サーバー中心に被害があるような感じがしました。
私の所感は以下です。
ぐぬ管 (GNU social JP管理人)|gnusocialjp@gnusocial.jp荒らしとかスパムとかで盛り上がっている間に、暇空茜は生死に関わるぎりぎりのゲームやってます。次元が違いますね… [アニメイト「京アニ」脅迫事件と、書類送検についてお話しておきます \- YouTube](https://www.youtube.com/watch?v=3MJQ6MQJ0T8)
はっきりいって、かなりレベルが低くてしょうもなくみえます。いちいちスパムが現れたくらいで慌てている人らが。
スパムの続報がそれなりの量になりそうなので、明日朝の記事にしようかと思いましたけど、リサーチに時間がかかるのでタイムオーバーです。明日継続して調べます。 いろいろ眺めていて、頭悪い人が多いという小並感です。攻撃者側のほうが落ち着いていて頭いい感じです。 いやー、私今日普通に就職活動、面接でしたからね…そんなに暇ないですからね…
丁度同じタイミングで、暇空茜側でも騒動があり、それとの対比で、被害を受けて騒いでいる人達がかなりしょうもなく見えました。既に過去に何度も生じていて、命の危機にさらされるようなそこまでたいした実害もないところが、しょうもなく見えた理由です。
タイミング的にもしかしたら、メールの脅迫は暇空茜と同一犯の可能性もありえますが、さすがにそれは考えすぎかもしれません。
そもそもスパムと、ボット、しょうもない投稿は紙一重です。人間だって「あああ」とかスパムに近い中身のない投稿や、Misskey系サーバーだと再投稿が無制限にできることから、自分の投稿の再投稿を連打する人 (記事:「さようなら、いままで絵文字リアクションをありがとう」はMisskeyの絵文字反応の有害性の指摘 | GNU social JP Web) もいます。
対策
今回の騒動の対策や情報が「2/16頃に発生したスパムやDoS攻撃の状況と対処まとめ」と以下でまとめられていました。
「2/16頃に発生したスパムやDoS攻撃の状況と対処まとめ」というGoogleドキュメントを作りました。 現在情報が錯綜していますが、「〇〇というIPアドレスをブロックすれば良い」とか「〇〇のようなアカウントを見かけたら通報すれば良い」などの事前・事後の対処についてまとめていけたらと思っています。 誰でも編集できるので、情報を集約して対処する際の情報源にできると良いかなと思っています。 
sublimer@あすてろいどん鯖管|sublimer@mstdn.sublimer.me
sublimer@あすてろいどん鯖管|sublimer@mstdn.sublimer.me「2/16頃に発生したスパムやDoS攻撃の状況と対処まとめ」というGoogleドキュメントを作りました。
現在情報が錯綜していますが、「〇〇というIPアドレスをブロックすれば良い」とか「〇〇のようなアカウントを見かけたら通報すれば良い」などの事前・事後の対処についてまとめていけたらと思っています。
情報はもう十分集まったかなと思うので、こちらを見ていただくのが良いかなと思います。
https://sublimer.notion.site/2-16-DoS-23ce66b76073416ea06d1b5b1a6cee06
スパムに対して誰でも編集できるドキュメントとか上げたらそうなるよねー
前回書いた通り被害内容は以下2点です。
- サーバー管理者の問い合わせ用公開メールの悪用 (無関係な企業の問い合わせフォームへのメールアドレス利用)。
- 一般登録サーバーへの大量登録・無差別メンション攻撃。
公開メールの悪用は今まであまりなかった攻撃です。対策は以下です。
- 新規登録の一時停止。
- スパムサーバーのドメインブロック。
- メンション通知ブロックなど。
一応上記が対策となっていますが、なんか根本的な対策になっているのか怪しい感じはします。
メールアドレスの悪用の件は、相手から問い合わせがあったら、無実だと訴えるしかないと私は思います。公開メールをどこで誰が掲載・利用するかはわからないからです。
報告
当初はMisskey系サーバー中心に発生した被害でしたが、その後Misskey以外のサーバーにも波及して、海外サーバーも巻き込んで当初より大きな騒動になりました。以下でいくつかみかけた報告を掲載します。
Austin Huang ❤️:verified:|austin@mstdn.party#mastoadmin #fediblock #fediblockmeta
TAKE ACTION NOW
Between 5:12am and 6:15am UTC mstdn.plus was hit with 111 registrations that are part of the Japanese-language #spam,which were intercepted.
1. The accounts have “$USERNAME@chitthi.in” as email. (UPDATE: other tempmail.plus domains have been observed elsewhere.)
2. They appear to be solely using Tor exit nodes. (UPDATE:IP subnets removed; you can find a list of Tor exit nodes somewhere.)TAKE ACTION NOW
@Sujiyan Hi. sujiyan.
Look at the federation timeline on mstdn.jp and pawoo.net.Since last night, a large number of slanderous posts have been flowing in from a large number of spam accounts created on several servers, and they are also directly sending random mentions to people who have posted publicly. Please, take action.
Suji Yan|Sujiyan@mstdn.jpSPAM death
PSA: 
World Collider|hj@post.ebin.club
Pleroma (and possibly its forks) users, to block the spam you can
1. domain-mute entire instances spam originates from:
Settings -> Mutes & Blocks -> Mutes -> Domains
2. Add the discord link they use to wordfilter
Settings -> Filtering -> Wordfilter
I’ll make sure to “elevate” the “priority” of cleaning up and making domain mutes to be more accessible.
yours truly,
alcoholic admin and pleroma dev
こういうときに真っ先にターゲットになるmstdn.jpなども漏れなくターゲットになっていたようです。
メール
スパム攻撃は沈静化したものの、メールの悪用はまだ続いているようです。
https://misskey.04.si/notes/9pt8ahu6ij この系統の荒らしもまだあるみたい
おしらせ 私の名前で爆破予告が送られています これらは全て私とは無関係の内容となるため、お手数ですが、このメールアドレスを使用した問い合わせ類は全て無視・破棄をお願いします。 ご迷惑をおかけいたします。
https://mk.shrimpia.network/notes/9pt9j7gu5i 追記
帝国官報 :shrimpia:|Emperor@mk.shrimpia.network**【大切なお知らせ】** 悪意のある第三者により、本サーバーの管理用メールアドレスを悪用する形で、京都アニメーション様のお問い合わせフォームに対し嫌がらせを行う事例を確認いたしました。 今後、然るべき機関に相談の上、厳正な対処を実施いたします。 **【本アドレスより嫌がらせを受けた方へ】** この度はご迷惑をお掛けし、誠に申し訳ございません。 本サーバーの管理を目的とし公開しているメールアドレスを第三者に悪用された形となります。本サーバーの管理スタッフは一切関与していませんことを表明させていただきます。 本件につきましては、警察等の然るべき機関に連絡し、厳正な対処を行います。 現在、こういった悪用を回避するためにメールアドレスを非公開としています。お手数をおかけいたしますが、ご理解・ご協力いただきますようよろしくお願いいたします。
匿名により、犯人の特定・証明が難しいのと同様に、本人が無実だと表明したとしても、証明は難しいです。せいぜいパフォーマンスです。
実害があった際に、説明するくらいしかないと思います。
いじめ
話が変わりますが、今回の騒動のどさくさに紛れて私へのいじめもなされていました。
GNU SOCIAL管理人と書いているあたりに知性の低さを感じる https://wug.fun/@theoria/111935017476834607
正しくは “GNU social JP管理人” だし、ちゃんと “妹尾賢” という名前がある
妹尾賢や彼のGNU Socialインスタンス (gnusocial.jp) のことは嫌いになっても、GNUやGNU Socialのことは嫌いにならないでくださいね!
GirAFFE Beer|giraffe_beer@mstdn.maud.ioGNU→わるくない
GNU/Linux→わるくない
GNU Social→わるくない
GNU Social JP→ https://www.giraffe.beer/2023/02/gnu-social-jp.html
「告知:mstdn.maud.ioからのドメインブロックと対抗措置 (解決済) | GNU social JP Web」で丁度昨年の今頃起きた騒動のことを蒸し返されました。
sublimer@あすてろいどん鯖管|sublimer@mstdn.sublimer.me「2/16頃に発生したスパムやDoS攻撃の状況と対処まとめ」というGoogleドキュメントを作りました。
現在情報が錯綜していますが、「〇〇というIPアドレスをブロックすれば良い」とか「〇〇のようなアカウントを見かけたら通報すれば良い」などの事前・事後の対処についてまとめていけたらと思っています。
情報はもう十分集まったかなと思うので、こちらを見ていただくのが良いかなと思います。
https://sublimer.notion.site/2-16-DoS-23ce66b76073416ea06d1b5b1a6cee06
なちか@4月まで社畜|nacika@oransns.comreplying to sublimer@あすてろいどん鯖管|sublimer@mstdn.sublimer.meすみません、、、GNU SOCIAL JPのドメインをまぜてしまいました・・はずしてください・・
@nacika 消しました!!
senooken.jp
すみませんこれもGNU SOCIAL JP関連です💦
@sublimer 自分でけしました!
@sublimer 固定ページに senooken.jp がまだのこっちゃってるのでけしてくださいw
GNU SOCIAL 管理人のメールアドレスドメインを多くの鯖缶がメールアドレスブロックする事態になってしまった
@nacika 失礼しました
消しました!
@sublimer よかった!(そもそもネタで載せた自分が悪い
@nacika 今回の件で私のサーバーからはスパムは発生していなくて、一切関係ないし、なんなら私も被害受けているくらいなのに加害者扱いのいじめ、かなりひどいです… 私あなたに迷惑かけたこと一度もないですよ。なんでそんなひどいことできるんですか?自分がやられて嫌じゃないんですか?人の心とかないんですか? ぐぬ管 (GNU social JP管理人)|gnusocialjp@gnusocial.jpreplying to nacika|nacika@gnusocial.jp
どさくさに紛れて、ブロックリストに、スパムとは関係のない私のサーバーのドメインを、私個人のドメインのsenooken.jpまで含めて悪意を持って掲載されていたようです。
控えめにいってもかなり悪質でひどい仕打ちです。さすがにこれは一線を超えています。本人にメールで謝罪と二度としないことを要請しました。その返答次第で今後の次の対応を検討します。
犯人
騒動の最中に、今回の騒動の犯人と思われる人物のアカウントが登場しました。
黒猫スパムの犯人らしきアカウント
英語圏でも「このアカウントが悪質だから mastodon-japan.netをドメインブロックしたほうがいい」って言ってるアカウントがあって(これをブロックしたところで踏み台サーバーから送られてくるスパムは防げないけど)mastodon-japan.net も踏み台にされてるサーバーも対策よろしくという気持ち。
あと、こういう迷惑行為って迷惑メールと同様に警察に通報できないのかな… :tony_neutral:
黒猫スパムの犯人らしきアカウント
犯人のアカウントを見るかぎり、エゴサーチしてハッシュタグ変えたり、ワードフィルターしづらくしたりしてて、もうリアルタイムなイタチごっこになっていそう
「【黒猫サーバー運営】ap12 伊藤 陽久(いとう あきひさ) (@ap12@mastodon-japan.net) – Mastodon Japan Server」 (Archive) のアカウントが自分で今回のスパム被害は自分の仕業だと名乗っており、いくつか興味深い投稿がありました。現在はアカウント凍結されていて、閲覧できません。勝手に自分で言っているだけで、証拠もないし、会話もできなくなるから凍結すべきではなかったと思います。ただ、「#fedibirdはトランス差別している人をBANしてください ハッシュタグデモ騒動 | GNU social JP Web」の過去の騒動にある通り、元々あまりまともに判断できてないのでしかたないです。
犯人の投稿は凍結されていてもうみれませんが、アカウント凍結前に開いていたWebブラウザーのログを以下に引用します。この投稿から、犯人にかなり余裕があって、対策をかいくぐるだけのそれなりの能力が伺えます。また、この記事後半では、犯人と何かしらの関係があると思われるMisskeyユーザーからの証言もあります。
詳細プロフィール。SNS: X Twitter/GS=gnusocialjp@gnusocial.jp/WP=gnusocialjp@web.gnusocial.jp。2022-07-17からgnusocial.jpとweb.gnusocial.jpのサイトを運営しています。WordPressで分散SNSに参加しています。このアカウントの投稿に返信すると、サイトのコメント欄にも反映されます。
Comments