2017年5月9日

罠が仕掛けられたアプリ:Tinderボットの驚くべき世界

セキュリティ ニュース プライバシー

出会い系アプリで気になる女性とチャットしていた男性が、送られてきたリンクをクリックする確率はどれくらいだと思いますか?「1%?」「5%?」「15%?」。PerimeterXのインバー・ラズ(Inbar Raz)氏が実施した調査によると、なんと70%に及ぶそうです!男性の3人に2人が実際にリンクをクリックしているということは、間違いなく世界最高のコンバージョン率です。では、もう1つ質問です。どんな悪いことが起こり得るでしょうか?

ラズ氏の調査は、まず、出会い系アプリのTinderに掲載するための完璧なプロフィール作りから始まりました。「マッチ率を上げる」というテーマは実によく研究されていて、数多くのガイドラインが存在します。TinderのCEOであるショーン・リッド(Sean Rid)氏とのインタビュー(英語記事)もあり、どういう写真ならマッチ数を増やすことができるのか説明されています。最も効果的な写真の特徴を、簡単に挙げてみましょう。

  • プロのカメラマンに撮影してもらった写真
  • 動物と一緒の写真
  • スポーツや趣味に興じているときの写真
  • 公的な写真または職場での写真
  • 面白そうな写真または創造的な写真

一目惚れ

約1年前、ラズ氏はセキュリティカンファレンスで講演するため、デンマークのコペンハーゲンに向かいました。現地に到着し、Tinderを立ち上げたところ、1時間で8人の美女とマッチしました。そのうち1人はデンマーク語のメッセージを送ってきて、文章の最後にリンクが貼られていました。その後も次々とマッチした相手が表示され、メッセージも山のように届きました。メッセージはどれも似ていて、唯一違うのはリンク末尾の4文字くらいです。

当然、ラズ氏はこの美女たちがボットではないかと疑い、うさん臭い「マッチング相手」を調査し始めました。マッチした57人を調べたところ、通った学校は29、勤務先は26、職業は11のバリエーションしかなく、大半の女性はモデルということでした。また、1人を除き、すべてのボットがデンマークの学校に通っているのに、ほぼ全員が英国の会社に勤め、勤務地のほとんどはロンドンでした。

その後、ラズ氏がマッチング相手のプロフィール情報を確かめたところ、盗んだ個人情報の組み合わせだと判明しました。FacebookやInstagramのアカウントにリンクされていましたが、どれもTinderのプロフィール情報にある名前や写真とは違っていました。

ボットをよく知るために

数か月後、ラズ氏はコロラド州デンバーのセキュリティカンファレンスに参加しました。案の定、Tinderから大量のマッチング相手が送られてきました。またしても、ほとんどが偽者です。デンバーのマッチング相手の中には、これまでよりも高度なチャットボットがいました。怪しいリンクをすぐに送りつけるのではなく、まずチャットしようと言ってきました。ラズ氏は複雑な質問を投げかけ、チャットボットの対話能力を検証しました。すると、どんな質問や回答をしても決められたテキストを返すだけで、あまり賢くないボットだということがわかりました。そしてもちろん、どのボットも会話を続けたいからとSkypeへの招待やリンクを貼り付けてきました。

このとき、ラズ氏はボットが送ってくるリンクを調査することにしました。このリンクからあるWebサイトへ、そこからさらに別のサイトへと次々にリダイレクトされました。最終的には、「これは出会い系サイトではありません」と書かれたページに飛び、こんな警告が表示されました。「ヌード写真が表示されます。分別をもってご利用ください」。この場合、分別とは一体どういう意味でしょうか。

それからさらに数か月後、ラズ氏はドイツのハンブルクで開催されたChaos Communication Congressに参加しました。このとき、あるマッチしたボットのプロフィールに「Better than Tinder」(Tinderよりまし)と題されたWebサイトへのリンクがあることに気づきました。そのサイトのメインページには、大きなヌード写真が貼られていました。

黒幕を追う

1か月後、ラズ氏はテキサス州オースティンで開催されたセキュリティカンファレンスに参加していました。Tinderを起動したところ、さらに大量のマッチングが表示されました。これまでの調査から、ラズ氏はまったく期待しておらず、どうせみんなボットだろうと、新しく現れた相手とチャットするときも本物の人間と会話しているふりすらしなくなりました。実際、会話は台本どおりに進み、最後はjuicyyy768というSkype IDで会話を続けよう、と招待されました。

このアカウント名を見たとき、デンバー滞在中にSkypeに招待してきたボットのことを思い出しました。アカウント名の付け方が同じだったからです。名前の最後の方で同じアルファベットを繰り返し、末尾が3桁の数字で終わります。ラズ氏は使い捨てのSkypeアカウントを作成し、このボットとチャットすることにしました。台本どおりの会話の後、写真共有サイトのアカウントを作成してほしいと頼まれました。言うまでもなく、それはクレジットカード番号を必要とするWebサイトです。この話がどこへ向かっているか、何となくおわかりでしょう。

続いてラズ氏は、ボット帝国のインフラを追跡することにしました。以前Tinderボットとチャットしたときに送られてきたリンク先のWebサイトを1つ選び、IPアドレスを調べました。そのIPは、数々の怪しいドメイン名に紐付けられており、Webサイトの名前はアダルト系やTinderなどに関連するものでした。これらドメインの登録者情報を調べましたが、ほとんどは匿名で登録されていました。

しかし、61のドメインすべてを調査した結果、もう少し詳しい情報が得られました。一部のドメインは別の方法で登録されていて、登録者名、電話番号、住所(フランスのマルセイユ)、メールアドレスが登録情報として記載されているドメインもありました。いずれも偽情報と判明しましたが、それでも点と点をつなぐ新しい手がかりになりました。

Scamadviser.comという通販サイトの安全性を診断するサイトを使ったところ、世界中のさまざまな国や都市から行われたボットキャンペーンを、ドメイン登録者情報から得たメールアドレス(*****752@gmail.com)に結びつけることができました。このアドレスの所有者は偽の名前、偽の電話番号、異なる住所をいくつか使っていました。共通するのは、住所がマルセイユであること、アカウント名に単語と3桁の数字を使っていることです。残念ながら、ラズ氏は詐欺師の正体を突き止められませんでした。誰かはわかりませんが、隠れるのがうまい人のようです。

その後、ラズ氏はOkCupidという別の出会い系サイトでもボットの有無を検証しました。そこでも発見されましたが、Tinderのボットほどうまく作られておらず、リダイレクト先のWebサイトもプロが作ったようには見えませんでした。さらに調べてみると、この小さなボット帝国の黒幕の運用上のセキュリティは*****752の足下にも及ばないことが判明。大量のWebサイトを調査した結果、最初に詐欺師のメールアドレス、続いて名前、さらには本当のFacebookアカウントまで見つかりました。この詐欺師のFacebookには、札束を握る素敵な写真が掲載されていました。

Tinderは恐れるに足らず

Tinderにはボットがいることがわかりました。こうしたボットは、チャット相手の時間を無駄遣いしたり、意味なく期待を抱かせたりするのが目的ではありません。ボットは相手のクレジットカードをかすめ取ろうとしています。冒頭で述べたように、リンクのクリック率は驚くべき高さです。つまり、実際にWebサイトを訪れ、美人のマッチング相手を求める男性は大勢いて、中には銀行データを入力する人までいるということです。

ですが、TinderやOkCupidなどの出会い系アプリを使わないようにという話ではありません。要は、騙される覚悟と慎重さが必要だということです。

  1. 見知らぬ人から送られてきたリンクは、クリックしないでください。まともな理由で「マッチング相手」がリンクを送りつけてくることはありません。それを踏まえて、プロフィール情報は確認しましょう。新しいマッチング相手の名前がリンク先のプロフィール情報と一致しなければ、何かおかしいと思ってください。
  2. 注意深く、慎重に行動しましょう。ボットはインターネットの至るところに潜んでいます。今のところはあまり高度なボットではないので、本物の人間と区別するのは簡単です。素敵な相手だと期待するあまり、我を忘れないようにしてください。たとえば話題を変えてみて、それ相応の返事が返ってくるか確かめてみましょう。
  3. ボットとデートするのはやめましょう。詐欺師の手口については、フィッシングに関するクイズで詳しく学んでください。