保安: Pawooの性器アバタースパムbotによるファボ爆テロ

概要

2023-04-12 Wedにアバターに性器画像を設定したスパムbotっぽいPawooのユーザーがフォロ爆していて話題だったので紹介します。

私自身もその日にそのユーザーからいいねされて存在を認知しており、以下の投稿をしました。

2023-04-12T03:16:46.000Z
ぐぬ管 (GNU social JP管理人)|gnusocialjp@gnusocial.jp
!gjp アバターに性器画像を設定したスパムっぽいユーザーからお気に入りされました。pawooでは非表示扱い。ただ、アバター画像がこちらのサーバーに残るので一旦画像を退避。モデレーションで非表示にできるのでしょうか？確認必要です…
Notices by STOP IGNORING THE CP PROBLEM (disable_sign_up@pawoo.net) - GNU social JP
IT WILL ONLY GET WORSEREPORT IT WHEN YOU SEE IT JAPS
gnusocial.jp

ただ、このときは私のところだけかと思って自分で対応してそれで終わりにしました。

注意

その後、2023-04-15 Satの午前に他のユーザーのタイムラインを眺めていて、以下の投稿で今回の件の注意喚起で、他のサーバーでも認知されていたことに気づきました。

2023-04-14T23:16:18.000Z
ぐぬ管 (GNU social JP管理人)|gnusocialjp@gnusocial.jp
!sns 先日のスパムアイコンユーザー他でも有名だったのですね。
https://plrm.capslock.dev/notice/AUaBwCPRNQlJgIMUjo
plrm.capslock.dev

2023-04-12T17:29:11.000Z
windymelt|windymelt@plrm.capslock.dev
[注意喚起（主に鯖缶向け）]
違法アイコンスパムに関して
（マストドンのインスタンスであるところのPawooに対する嫌がらせとして）Pawooにアカウントを作成し、法的に問題のある画像をアイコンに設定し、他インスタンスのユーザに無差別いいねを飛ばしているユーザが発生している。BANされても連続してユーザを登録し、同様の行為を繰り返している。
嫌がらせ行為の動機は不明であるが、Pawooとのリレー解消とドメインブロックを一方的に要求する文言がプロフィールに記載されている。
ユーザによる言及によってインターネットにアイコンが配信される可能性があるため、遭遇した場合は積極的に排除する必要がある。
意図は何であれ、windymeltの管理下のサーバではこのような不当な要求には応じないし、Pawooとのリレー解消やドメインブロックは実施しない。
各インスタンスの管理者はユーザ登録にRECAPTCHAなどを要求したり、重複IPからの登録を規制したり、Torなどからのコネクションを一時的にブロックすることで遅滞戦術を取ることができる。わかりやすいプロフィールを設定しているので、実装によっては自動的に排除可能である。
CloudflareなどのCDNを利用している場合、違法な画像を自動的にブロックする機能が有償で提供されている。
一般のユーザが可能な特段の対処方法はない。ユーザIDを名指しすると画像が配信されるおそれがあるため、名指ししてはならない。おそらくPawoo側も通報でパンクしていることと思います。

上記ユーザーは私のサーバーと連合しておらず、再投稿の投稿も流れてこないため、気づきませんでした。

ユーザーアカウントの情報がないので、断定はしきれませんが、ほぼ同じユーザーでしょう。

私のサーバーの該当ユーザーのリモートアカウントに以下のプロフィール情報があります (アバターは撤去済みで、Pawoo側でもアカウント凍結済み)。

STOP IGNORING THE CP PROBLEM
@DISABLE_SIGN_UP@pawoo.net

IT WILL ONLY GET WORSEREPORT IT WHEN YOU SEE IT JAPS

当初意味不明だったのですけど、上記の説明でPawooへの嫌がらせだったことがわかりました。DISABLE_SIGN_UPはPawooに登録するな、などの意味だったようです。

Pawooから連合サーバーに、違法な画像を無理やり配信して、ドメインブロックや連合廃止を促すものだったようです。

多くの分散SNSは、リモートユーザーのアバター画像を自分のサーバーにキャッシュしており、返信や、いいねなどで連合が始まると、アバター画像が保存されてしまいます。違法な画像であれば、キャッシュであったとしても対応が必要になります。この仕組みを悪用したものでしょう。

内容的に「速報: CloudflareによるKiwi Farmsのブロック | GNU social JP」や、手が回らなくて紹介できていないホスティング業者のムトーの閉鎖と似たような攻撃にみえました。

つまり、潰したいサーバーにアカウントを登録して、違法なコンテンツを投稿して、ホスティング業者や警察などの外部機関にブロックさせるというものです。

注意喚起にある通り、一般ユーザーレベルでは対策の使用はありません。管理者、モデレーターであれば、該当のリモートユーザーをモデレートしたり、画像の削除が必要になるでしょう。

結論

スパムbotによる迷惑行為でした。内容的に一種のテロだったように思います。ユーザーの多いメガサーバーは何かと攻撃の標的になるので注意が必要です。

2023-04-12T03:18:24.000Z
ぐぬ管 (GNU social JP管理人)|gnusocialjp@gnusocial.jp
replying to ぐぬ管 (GNU social JP管理人)|gnusocialjp@gnusocial.jp
!gs リモートサーバーやOGP/oEmbedの外部画像は、リスクが大きすぎるので、自分のサーバーで保存したくないです。アバターだけどうにかしたいです。うまい方法あるのでしょうか。開発課題ですかね。

上記投稿にある通り、リモートユーザーの画像は何かと問題になります。信頼できるユーザーのアバターだけキャッシュするなど、何か工夫できればいいかもしれません。

ぐぬ管 (GNU social JP管理人)

詳細プロフィール。SNS: Twitter/GS=gnusocialjp@gnusocial.jp/WP=gnusocialjp@web.gnusocial.jp。2022-07-17からgnusocial.jpとweb.gnusocial.jpのサイトを運営しています。WordPressで分散SNSに参加しています。このアカウントの投稿に返信すると、サイトのコメント欄にも反映されます。