「さあ、今からゲームを始めよう!」スパムの転送先がDMM

Twitterで「さあ、今からゲームを始めよう!」と無差別リプライを送るbotについて調べました。何重にも転送されて最終的にDMMのオンラインゲーム「ロードオブワルキューレ」に飛ぶようです。

「さあ、今からゲームを始めよう!」スパムの転送先がDMM

2013年10月9日 午前7時頃から、Twitter上で一方的にURLつきのメンションを送りつけてくるアカウントが多発したメモ。

検索してみると該当アカウントが山ほど見つかり、いずれもTinyURLの短縮URLが貼られています。実際のURLは踏んでませんが展開してみた結果をご報告します。

【注】本稿は追記事項が多いため、読みやすさを優先して時系列を入れ替えてます。関連記事も全て一本にまとめました。初出は各章のタイムマークをご確認下さい。

リンク先がDMMのロードオブワルキューレ

【初出:2013/10/09 12:00】

短縮URLをリダイレクト先まで追っかけたら、なんとDMMに転送されました。ロードオブワルキューレなるゲームに飛ばされるみたいなんですけど。え…これ本当なの!? 

サイトタイトル Lord of Walkure | ロードオブワルキューレ – DMMオンラインゲー…
転送先URL http://www.dmm.com/lp/game/walkure/index01.html/‌=/navi=none/?utm_source=af&utm_…
自動取得の
スクリーンショット
playgame3

DMMのTwitterアフィリエイトに乗ったスパム?

【初出:2013/10/09 14:45】

botからのリプ → 短縮URL → 更にロンダリング → エロゲって、他者が工作したんだったら会社の評判落ちるしDMMも声明出した方が良いんじゃないのかなぁ…って思ったんですけど、DMMってTwitterアフィリエイトやってるんですね。(白目)

TwitDMM : http://twit.dmm.co.jp/info

当初艦これの話をするとリプが飛んでくるって噂があったので、既存のDMM顧客層を狙ってナルト飛ばしてきたってところでしょうか。

スパムbotのブロック方法

あと、リプを送ってくるアカウントは無差別でこの話ばかりをリプしてくるbotなのでブロックしてしまいましょう。設定欄からスパムブロック通報します。

スパムブロック

【追記 : 2013/10/21】

一部の方が「URLを踏むとアカウントを乗っ取られる」などと書いてますがTwitterの定番デマで、今のところDMMに飛ばされるだけのはずです。

ただし何重にも転送されてるので気軽にURL踏むのはオススメしません。(私も通信経路を追っただけで実際には見に行ってません。)

『さあ、今からゲームを始めよう!』スパムとは

【初出:2013/10/09 08:00】

Twitter上で発生した現象です。無作為に知らない人から TinyURLの短縮URLつきの『さあ、今からゲームを始めよう!』というメッセージが届きます。いきなりメンションしてきたので速攻でブロックしてしまったのですが、検索したらいっぱい出てきました。

「さあ、今からゲームを始めよう!」の検索結果【「さあ、今からゲームを始めよう!」:Yahoo!リアルタイム検索】

いくつか選んで展開してみたところ、いずれも http://xxxx.japangamers.tk なるドメインが出てきます。

http://s8gq.japangamers.tk
http://shp.japangamers.tk
http://qsxf.japangamers.tk
http://2lke.japangamers.tk
http://n4m.japangamers.tk

japangamers.tk とは

そのまま見に行くのは気持ち悪いのでサイト安全性チェックサービスのgredに通してみました。

japangamersのgredチェック結果

展開したURLを全部突っ込んでみましたが、一応安全みたいです。また、取得されたサイトデザインは少なくとも2種類あるようでした。

ただ、重ねて言いますが私自身は気持ち悪いので直接は見に行ってません。実際にリンクを踏む場合は自己責任でお願いします。

【2013/10/09 10:30】

ちなみに.tkとは、ニュージーランド・トケラウのドメインです。

メールアドレスだけで無料取得できると人気のようですが、基本的にリダイレクト(転送)するだけで実体がないためGoogleにインデックスされることは少ないようです。そう言う意味では悪い方に使い勝手が良いドメインかも知れないですね。

気になってVerisignの資料見たら.tk って .net や .org 以上の登録件数があるらしいです。…って、本当!?

無言でリプする新型botが登場

【初出:2013-10-21】

2013年10月20日 午前1時30分頃から、Twitter上で一方的にURLつきのメンションを送りつけてくるアカウントが発生しました。いずれもtinyURLの短縮アドレスでDMMのオンラインゲームロードオブワルキューレ(Lord of Walkure)に誘導されます。

2013年10月9日 午前7時頃から断続的に発生していた『さあ、今からゲームを始めよう!』のbotと良く似てますが、挙動が少し変わったので特徴をまとめておきます。

DMMのbot

基本的には『さあ、今からゲームを始めよう!』botと一緒なんですが、ツイート内容は tinyurl を使った短縮URLだけで誘い文句がなくなりました。

URLを量産してリダイレクトしているため非常に検索性が悪く、botかどうかの判定がしにくくなってます。そのため『さあ、今からゲームを始めよう!』botと比べて顕在化されておらず、スパム報告されるまでの時間が長くなってる印象です。

今回私の所にリプは来てないんですけど、『さあ、今からゲームを始めよう!』botの出てない時間帯に解説記事へのアクセスが増えてたので亜型の発生に気づきました。話の流れで関係者を名乗る男に犯行を疑われましたが、犯人だったらこんな話書くかっつーの。

実際にURL踏んだ人のコメントによると実害なさそうですけど、誰に送ったURLがクリックされてるかくらいは取れるんじゃないですかね。何度も送られてくる人とそうでない人で二極化してる感じがします。以下、ブロック判定のご参考にどーぞ。

アカウント名 英語圏っぽい女性名+4桁の数字
スクリーンネーム IDと同一 または IDと類似のファーストネーム
アイコン 主に非アジア人女性の写真
プロフィール 空白
ロケーション USA または NYなどアメリカの都市
属性など 0フォロー / 0フォロワー
ツイートの特徴 記述はtinyURLの短縮アドレスのみ 数時間おきに4ツイート連続投稿

botの特徴

ロードオブワルキューレ誘発bot発生状況

【初出: 2013/10/10】

10月9日の18時頃を境に一度は収束したかに見えたbotですけど、10月10日 09:30頃から まーた復活したみたいなので発生状況まとめておきます。

日付 開始時間 終了時間 継続時間(約)
2013/10/09 06:55 頃 17:15 頃 10h20m
2013/10/10 09:35 頃 22:10 頃 12h35m
2013/10/11 01:10 頃 02:25 頃 1h15m
2013/10/18 14:45 頃 21:30 頃 6h45m
2013/10/19 01:10 頃 06:50 頃 5h40m
2013/10/19 07:50 頃 15:10 頃 7h20m
2013/10/19 16:20 頃 16:40 頃 0h20m

あと、ざっくり眺めてると無差別攻撃度が上がってる感じなので艦これの話をしてなくても飛んでくるときは来ると思います。

あと親切心(?)で「こんなリプ来てたけど」って非公開RT等で晒す方。短縮URLってログが取りやすいので、興味本位でフォロワーが押したらクリック率の高いアカウントってことになりますよね。格好のカモにされると思うんだけど。

スパブロ要請「だけ」が目的ならURL削って流しましょうねっ。(^^

bot発生件数の時間推移

ツイート発生件数推移グラフ【集計にはYahoo!リアルタイム検索を利用】

まずは左グラフの説明から、10月9日のリプ発生件数推移です。ちなみに829件となっているのは立ち上がり15分の集計なので、全体を通じて1秒に1通程度の頻度でツイートされてたことになります。

フォローもフォロワーもいないアメリカ人女性から一方的にURLを送られるという怪しさ爆裂の行為に対し、皆さん躊躇なく運営に通報されており時間を追うごとにアカウントがサクサク凍結されてました。結局、9日は18時を境にぱったり活動が停止したのを確認しています。

また、集計時間を24時間に広げたのが右のグラフ。この2万7千件の中には「こんなの来てたから皆も気をつけて!」…といった注意を促すツイートも含まれるので、9日全体で着弾した方は のべ2万5千アカウントくらいでしょうか。

bot自体は5000アカウント近く発生したはずなので、事件発生から11時間で沈静化したのはちょっとした驚きでした。Twitter運営って結構仕事が早いんですね。

bot復活

しかし静かだったのは夜の間だけで、翌10日9時半になったらbotがあっさり復活してました。

要するに11時間で沈静化した…のではなくて単に彼らの就業時間が11時間だったということですね…。(本当かどうか知らんけど。)

botの発生状況に関するメモ

刻々と状況が変わっていたのでメモ置いときます。

【2013/10/09 08:00】

2013/10/09 08:00 現在、送信件数のピークは過ぎてるみたいですね。また何か判ったら追記します。

【2013/10/09 09:30】

先ほど送信件数のピークが過ぎてると言ったのは勘違いでした。
集計時間ごとのデータ数で一時的に値が下がることがあるだけで、依然として1分に50通程度ペースでポストが発生してますね。今のところ着弾したのは1万人程度。

【2013/10/09 10:30】

主なスパムアカウントの特徴は『US在住、外人女性アイコン、フォロー等0、過去のツイート数が4件程度』なんですが、時々アクティブな日本人アカウントが交じってて気になってます。

いたずらパクツイなら数に限りがあるんですが、過去に連携したアプリが吐いてるとすると影響が大きいかも。

リンク踏んだけどADブロックで読めなかったというコメントを見かけたので、最終的にはFLASHで作られたサイトかも知れません。怖い怖い。

【2013/10/16】

今回発生の波は20時30分に止むと予想してましたが、結局実際に止んだのは10日の22時過ぎでした。更に翌11日の未明に小一時間ほど復活して以降は今のところ確認されてません。

今度こそ消えたかな?

【2013/10/19】

すっかり収束したと思ってたんですけど、その後もたびたびこのページにアクセスが集中するので定期的に発生しているようですね。

だんだん活動が細切れになってますけど、24時間区切りで見ると2.5~3万件ずつの送信という感じでしょうか。時間は不定期ながら今後もたびたび発生しそうです。

【追記 : 2014/03/19】

久々に検索したら凍結されたアカウントがいつの間にか復帰してますね。中身はもう空っぽみたいです。

ロードオブワルキューレ誘導botを調べてみた

リプが来たのに疑問を持って調べてみたらDMMのゲームに誘導される仕組みで驚きました。(実際には見に行ってませんが、URLを踏んだ人の感想も探してたら調べたのと同じ状況みたいです)

その後も何度か発生したので気になって流れを追っていましたが、24時間送り続けるわけじゃないことを知って迷惑行為してる割には就業時間が結構まともだな~とか思うなど。

どんなに人から嫌われる事をしていようとも、ルールの範囲で順法精神にのっとって活動してるのは ある意味すごいなと。ま、百歩譲ってもスパムはスパムですけどね。

【関連記事】

Twitterのアフィリエイトbotの調査結果をまとめてみた

Twitterで大量に同じこと喋るbotをまとめてみました。「探してたbotと違う」と言う方はこちらをどうぞ。

【主な更新履歴】

2013-10-09
初稿発表 / 旧題:さあ、今からゲームを始めよう!はスパム?URL展開してみた
2013-10-10
関連記事発表 / 『さあ、今からゲームを始めよう!』収束してませんでした…
2013-10-21
関連記事発表 / 見知らぬ外人女性からの短縮URLリプはDMMのアレに飛ぶ
2015-09-18
関連記事まとめました


【さあ、今からゲームを始めよう!はスパム?URL展開してみた】
 9261 / http://www.02320.net/2013/10/09/about-japangamers-tk/
【『さあ、今からゲームを始めよう!』収束してませんでした…】
 776 / http://www.02320.net/2013/10/10/white-spam-company/
【見知らぬ外人女性からの短縮URLリプはDMMのアレに飛ぶ】
 1131 / http://www.02320.net/2013/10/21/dmm-bot-2nd/